ISO/IEC 27001:2013 とは
ISO/IEC 27001:2022への移行支援サービスは準備中です。お急ぎの方はご相談ください。
|
ISO/IEC 27001 と ISO/IEC 27002 は、ISO/IEC 27000 シリーズと呼ばれる情報セキュリティ規格群の 1つです。
この ISO/IEC 27000 シリーズは改訂され、2014-2015年が新規格への移行時期でした。2014年に移行した組織は少なく、2015年に大多数の認証取得している組織が移行したようです。
ISO/IEC 27000 は、ISO/IEC 27000 シリーズの規格 の概要と、このシリーズ規格で使用される用語を定義した規格です。
よって、ISO/IEC 27001 の IS 版(国際規格版)では、この ISO/IEC 27000 が引用規格、及び用語及び定義の参照規格として用いられています。
ISO/IEC 27000 も、ISO/IEC 27001 の改訂に併せて、改訂されました。
ISO/IEC 27001 の改訂のポイントは2つです。
- マネジメントシステム規格の共通化の動きへの対応(上位 構造、共通のテキスト・用語及び定義の適用)
- リスクマネジメント規格 ISO 31000(2009 年発行)へ の対応
マネジメントシステム規格の共通化の動きの背景には、複数のマネジメントシステム規格(例えばISO27001とISO20000の2つのシステム)を運用している組織が増えていることがあげられます。
ISO/IEC 27001:2013は、ISO/IEC27001:2005を継承した規格です。
さらにISO/IEC27001:2013は、ISO MSS共通要素の適用、リスクマネジメント(ISO 31000:200(JIS Q 31000:2010))への対応を考慮した改定内容となっています。
ISO MSS共通要素は、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性を図り、組織の負担を軽減することが共通化の目的です。
マネジメントシステムの一貫性と整合性を向上させた統一された上位構造と共通テキストから構成されています。
そのために、どのようにするではなく、何をするかのマネジメントシステムの共通的な要求事項と、分野に固有な要求事項で構成されています。
「ISO/IEC 専門業務指針」に基づいて発行された・ 改訂予定のマネジメントシステム規格の状況
|
すでに、この新しいルールに基づいてマネジメントシステム規格が作らる時代に入っており、ISO/IEC 27001 や、これから策定改訂されるマネジメントシステム規格もこれに基づいて策定される予定です。
規格 名称 改訂状況
-ISO30301 記録マネジメントシステム 2011年11月発行
-ISO22301 事業継続マネジメントシステム 2012年5月発行
-ISO20121 サステナブル・イベントマネジメントシステム 2012年6月発行
-ISO39001 道路交通安全マネジメントシステム 2012年10月発行
-ISO27001 情報セキュリティマネジメントシステム 2013年10月改訂
-ISO55001 アセットマネジメントシステム 2014年1月発行
-ISO14001 環境マネジメントシステム 2015年改訂予定
-ISO9001 品質マネジメントシステム 2015年改訂予定
- 0.序文
- 1.適用範囲
- 2. 引用規格
- 3. 用語及び定義
- 4. 組織の状況
- 5. リーダーシップ<
- 6. 計画
- 7. 支援
- 8. 運用
- 9. パフォーマンス評価
- 10. 改善
- 付属書A.管理目的及び管理策
- A.5 情報セキュリティのための方針群
- A.6 情報セキュリティのための組織
- A.7 人的資源のセキュリティ
- A.8 資産の管理
- A.9 アクセス制御
- A.10 暗号
- A.11 物理的及び環境的セキュリティ
- A.12 運用のセキュリティ
- A.13 通信のセキュリティ
- A.14 システムの取得、開発及び保守
- A.15 供給者関係<
- A.16 情報セキュリティインシデント管理
- A.17 事業継続マネジメントにおける情報セキュリティの側面
- A.18 順守<
- - 附属書 SL(上位構造、共通のテキスト・用語及び定義の適用) に基づいて、規格が策定
- - 箇条 2 引用規格から、ISO27002 が削除され、ISO27000 が追加
- - 箇条 3 用語及び定義から、16の用語の定義が削除 ⇒ ISO27000 を引用
- - 専門用語の変更例
- -- ISMS 基本方針 ⇒ 情報セキュリティ方針
- -- ISMS の目的 ⇒ 情報セキュリティ目的<
- - 2005 年版の箇条 8.3 にあった「予防処置」という用語が削除
- - リスクアセスメントの要求事項は、ISO31000 との整合性 により、より一般的な表現に変更
- - 「リスク所有者」を特定し、「リスク所有者」が情報セキュリティリスク対応計画とセキュリティ残留リスクを承認する 要求事項が追加
- - 管理策の数が、133 から 若干削減され、管理領域は増加
詳細管理策 は以下のようにA.5からA.15まで11の領域/分類(管理目的:39個、管理策:133個)がある。適用宣言書でこれらの詳細管理策を採用するか否かを明確に記述する。
これが2013年版では、管理策の数が、2005 年の 133 から 114 になりました。(下記)
・お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お問合わせください。
・既にシステム運用をしていて、改善したい、運用を支援してもらいたいのだが。。。といった改善のご相談もお気軽にお問合わせください。
・マニュアルや管理文書の改良(高度化、整合化、削減など)のための書き換えサービスを実施しております。
・ISO9001,ISO14001,ISO27001など他規格との統合マネジメントシステムも対応可能です。
・サービス内容はお客様との相談により対応しております。
・お気軽にお問合わせください。
・実績豊富なISOコンサルタントがISO9001、ISO14001、Pマーク取得ノウハウをご提供致します。
・ISO担当者だけでなく経営者も必見の情報です。まずは最新の無料レポートをご覧下さい。
・ISO27001,ISO14001,ISO9001,Pマーク取得に関するお悩み・ご相談を無料メール相談でお受けします。
・専門家のアドバイスを受けたい方、まずはこの無料サービスをご利用下さい。
Copyright © 2005-2023 TATECS , All Rights Reserved.
|