ソルクシーズ公認ブログ|ITエンジニアの仕事とキャリア紹介

現場の取り組み

ISO27001移行を乗り切るコツ-2

現場の取り組み

(※本記事は、ISOコンサルタントである社員の寄稿記事を編集したものです)

ISOコンサルタント「Tomo」です。ご無沙汰しています。

ISO27001:2013への移行期限※が迫る中、再びの登場です。よろしくお願いします。

※2015年10月1日までにはISO27001:2013に移行を終える、ということで、1年も猶予があるように見えますが、更新審査のタイミング(月)次第では、今年中に移行審査を受審しなければいけない組織もあることでしょう。

さて、前回の寄稿から、4ヶ月が経ちましたので、皆さまの移行作業もかなり進んでいることと思います。それに伴って規格の解釈に苦労している人も増えているのではと推察します。

悩む。。。

そこで、今回と次回の2回に分けて、皆さまが苦労するであろう箇条4 組織の状況 及び 箇条6 計画についてを中心に、移行のコツをお話していきたいと思います。

今回からは、実際の箇条番号が出てきますので、規格を見ながらお読みいただくとより理解が深まります。

1.箇条4 「組織の状況」から箇条6 「計画」へ

箇条4から箇条6への関係としては、「4.1 組織及びその状況の理解」で特定した「外部の課題」と「内部の課題」は、4.3 「ISMS適用範囲の決定」及び6.1.1「対処する必要があるリスク及び機会の決定」にインプットする必要があります。

また、「4.2 利害関係者のニーズ及び期待の理解」で特定した利害関係者の要求事項も、4.3 「ISMS適用範囲の決定」及び6.1.1「対処する必要があるリスク及び機会の決定」にインプットする必要があります。

すなわち、4.1と4.2で特定した情報は、4.3と6.1.1のインプット情報として重要になり、このあたりの関連性について審査では問われます。

 

2.組織の状況と利害関係者のニーズ及び期待の理解について

箇条4 組織の状況では、4.1 組織及びその状況の理解と4.2 利害関係者のニーズ及び期待の理解が全く新しい要求事項として追加されています。

まず、4.1 組織及びその状況の理解では、ISMSの意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を決定することが要求されています。

すなわち、企業の内部の課題と外部の課題をSWOT分析などの手法を参考に分析し、内部の課題、外部の課題を明確にする必要があります。

次に、4.2 利害関係者のニーズ及び期待の理解では、ISMSに関連する利害関係者と情報セキュリティに関連する要求事項を決定することが要求されています。

すなわち、利害関係者を洗い出すだけではなく、利害関係者の要求事項を明確にする必要があります。

3.準備すべきドキュメント

箇条4 組織の状況で準備すべきドキュメントには、次のようなものがあります。

バインダー

4.1 組織及びその状況の理解
内部、外部の課題分析表:企業の内部の課題と外部の課題をSWOT分析などの手法を参考にして、洗い出す必要がある。問題にとどまらず、課題※を抽出することがポイント。
※「あるべき姿」を考え、それと現状のギャップから「課題」をみつけましょう。

4.2 利害関係者のニーズ及び期待の理解
利害関係者一覧:利害関係者名と連絡先が記載されているだけではだめです。利害関係者の要求事項の追記が記載されていることがポイント。

4.3 適用範囲の決定
適用範囲定義書:旧規格のものを流用しても可。ただし、4.1と4.2の情報がインプットされていることがポイント。
※上記は、いろいろな情報から判断していますが、現時点では正解であるかはわかりません。
1つの判断材料として参考にしてください。

4.お役立ち情報

すでにご存じの方が多いかもしれませんが、JIPDEC(日本情報経済社会推進協会)より、ISMSユーザーズガイド-JIS Q 27001:2014(ISO/IEC 27001:2013)対応版が4/14に発行されています。

情報が少ない中での移行ですので、必ず入手をされることをお薦めします。

申し込みURL: https://contact.jipdec.or.jp/m?f=155

ちなみに無料ですが、ライセンス管理番号が振られていますので、各自申請して申し込む必要があります。

次回は箇条6について、詳しくお話します。

 

ソルクシーズの「セキュリティコンサルティング」サービスはこちら

タイトルとURLをコピーしました