ソルクシーズ公認ブログ|ITエンジニアの仕事とキャリア紹介

現場の取り組み

ISO27001移行を乗り切るコツ

現場の取り組み

(※本記事は、ISOコンサルタントである社員の寄稿記事を編集したものです)

情報セキュリティマネジメントシステムの国際規格ISO27001の改訂版「ISO27001:2013」が2013年10月に発行されて、早いもので半年以上たちました。ISO業界では、移行特需で少しばかり浮かれている雰囲気もあります。

今回は、ISOコンサルタントの視点から、最小限の労力で移行を乗り切るコツをお伝えしたいと思います。

 

■ISO27001:2013の改訂概要

 

まずは、今回のISO27001の改訂について、その概要からお話ししていきましょう。

ISO27001はかなり前から見直しが進められていました。そして、昨年10月1日、8年ぶりに改訂が行われました。今回の規格の改訂で大きな変更点となっているのは、共通構成規格(通称ISO Guide83)の適用です。

「ISO Guide83」は、マネジメントシステム規格(ISO27001を含むISO9001、ISO14001など)の構造を共通化し、規格間の整合性が取られることを目的にしています。つまり、規格の章立てが、どの規格においてもほぼ同じになるというこうことです。

このGuide83の採用により、マネジメントシステムの統合がしやすく、文書の共通化などが行いやすくなります。

また、ISO27001詳細管理策(付属書A)についても、項番の削除、入れ替えや新規追加などが行われ、だいぶ変更されています。(詳細管理策は、133→114になりました)

 

■改訂が及ぼす影響

次に、今回の改訂が及ぼす影響について考えてみます。大きな影響としては、次の3点が挙げられます。

(1)ISMSマニュアルの構成をGuide83に合わせて改訂するかの検討が生じる。

(2)詳細管理策の項番変更に伴い、リスクアセスメント及び適用宣言書を改訂する必要が生じる。

(3)管理策の採択に合せて、規程や手順の追加や修正が生じる。

特に注意しなければならないのは、2015年9月30日までに移行審査を完了させなければならないということです。

005

一般財団法人日本情報経済社会推進協会. 情報マネジメント推進センター 資料より

 

■移行の手順

移行における具体的な手順は、次のように進めることになります。

005-01-02

 

 

■移行のコツ

最後に、移行のコツをお教えしましょう。

今回の改訂は、情報資産の洗い出しからリスクアセスメントに至る主要な手順(時間がかかる作業)には大きな変更はありません。

従って、外部の情報(文書の大幅な見直しが必要とか!ISO31000を参考にした方がよいとか!)に惑わされることなく、自社のマネジメントシステムを見直す“いい機会”と捉えて臨むことが重要です。

現段階では、自社の審査機関が示している移行のポイントを把握することが必須となります。

移行のポイントを参照しながら、規格を読み進めると、どのあたりの修正が必要なのか?何が変わったか?が次第にわかってきます。(この手法は、私も実践している作業です)

この作業を行うことで、自社のセキュリティポリシーとのギャップも徐々に明らかになり、課題がはっきりしてきます。

8年前の改訂の時もそうでしたが、移行審査開始後1年ぐらいは審査機関の規格の解釈にもばらつきが見られますので、おそらく今回も混乱はあると予想します。

しかし、自社が運用してきたマネジメントシステムを信じ、STEP1~7の手順に沿って課題を解決していくことが、移行の最大の近道です。

また、効率よく移行を完了するには、テンプレートの利用やコンサルタントの助言を活用するのも一つの選択肢になるでしょう。

本コラムが少しでも参考になり、皆様の移行が成功することを祈っております!

 

ソルクシーズの「セキュリティコンサルティング」サービスはこちら

タイトルとURLをコピーしました