運用･更新

【徹底解説】ISO27001(ISMS)2013年度版とは？運用のポイント３点

HOME

ISMS

コラム一覧

運用･更新

【徹底解説】ISO27001(ISMS)2013年度版とは？運用のポイント３点

2022年7月12日

ISMS（ISO27001）は2013年10月1日に改訂され現在の最新版となっていますが、2023年に規格の改訂が予定されています。
ISMS（ISO27001）2013年度版の運用のポイントは、①適用宣言書②リスクアセスメント③リスク対応の３点です。
ISMS2013年度版の規格のポイントについても深堀りしてご紹介していきます。

1．ISMS（ISO27001）：2013とは
2．ISMS（ISO27001）：2013年度版運用のポイント
（１）適用宣言書
（２）リスクアセスメント
（３）リスク対応
３．ISMS（ISO27001）の取得基準を満たすには？
（１）外部内部の課題
（２）リスクアセスメント
（３）リスク及び機会への取り組み
４．次回の規格改訂はいつ？
まとめ

1．ISMS（ISO27001）：2013とは

ISMS（ISO27001）とは、情報セキュリティに関する国際規格です。

「2013」という数字は改訂年数を表します。

ISMSは、情報セキュリティマネジメントシステム（ISMS）を構築し、情報の機密性、完全性及び可用性を維持し、リスクを管理していくための仕組みづくりをしていくためにあります。

ISMS（ISO27001）を認証取得することで、お客様や関係するお取引先などに信頼を与えることもできます。

2．ISMS（ISO27001）：2013年度版運用のポイント

ISO27001：2013（ISMS）を運用する上でのポイントを、今回は３つに絞ってご紹介します。

（１）適用宣言書

（２）リスクアセスメント

（３）リスク対応

（１）適用宣言書

ISO27001は大きく分けると本文とそれに付随する附属書という２つに分かれています。

本文とはISO27001を構築・運用する上での最低限の必須事項が記載されているもので、

附属書とは安全対策やその目的に付いて記されたものです。

この附属書Aを基に、組織に該当する内容、該当しない内容を洗い出したものが適用宣言書となります。

書かれている一例を記載すると

・A.12.1.4 開発環境、試験環境及び運用環境の分離

　開発環境、試験環境及び運用環境は、運用環境への認可されていないアクセス又は変更によるリスクを低減するために、分離しなければならない。

・A.14.2.1 セキュリティに配慮した開発のための方針

　ソフトウェア及びシステムの開発のための規則は、組織内において確立し、開発に対して適用しなければならない。

このような内容になっています。

これらの記載はシステム開発業務を行っている会社以外では業務内容が該当しないかもしれません。

その場合、この管理策は適用しないと選択を行うことができるというものです。

附属書A内容を適用するかしないかを公表するという意味で、適用宣言書と呼ばれています。

まずは適用するもの、しないものを洗い出し、それに基づいた安全対策の確立を行いましょう。

（２）リスクアセスメント

情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。

リスクアセスメントを実施するための基準を作ること、リスクを受容する基準を作ることなどが求められています。

つまり、リスクアセスメントとはリスクに対する基準を作り、リスクを評価することをいいます。

ちなみにリスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。

リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。

（３）リスク対応

リスクアセスメントの結果、特別にリスク対策を講じなければならない項目を決定します。

各資産に対して対策を実施されていると思います。

例えば履歴書のような紙の資産であれば鍵のかかるキャビネットに保管するような対策ですが、

これに対して鍵付きキャビネットに保管するだけでは足りず鍵の保有者を制限する、

キャビネットを耐火防水素材のものにするなど、その資産の重要度によっては他とは異なる対策が必要になるかもしれません。

そうした対応をリスク対応と言います。

ISO27001：2013（ISMS）はリスクを低下させるための規格です。

そのため、リスクについて事前に洗い出し、評価を行い、リスク低減を行いましょう。

３．ISMS（ISO27001）の取得基準を満たすには？

（１）外部内部の課題

先ほどのCIAの観点で、組織の内部及び外部の課題について洗い出すセクションです。

ここでいう課題とは、好ましい要因又は状態、及び好ましくない要因又は状態が含まれるところがポイントです。

課題と聞くと好ましくない現状の課題と認識しがちですが、規格では検討の対象となる好ましい要因又は状態も踏まえることが求めらています。

（２）リスクアセスメント

情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。

リスクアセスメントを実施するための基準を作ること、リスクを受容する基準を作ることなどが求められています。

つまり、リスクアセスメントとはリスクに対する基準を作り、リスクを評価することをいいます。

ちなみにリスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。

リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。

（３）リスク及び機会への取り組み

マネジメントシステムを計画する時に、

ここまで理解してきた組織及びその状況等を考慮し、

リスクへの取組みの選択、あるいは機会を追及するためにそのリスクをテイクすること、

またはリスクを低減させる取り組み、あるいはチャンスをつかむための新たな取り組み等を計画します。

４．次回の規格改訂はいつ？

規格改訂とは、規格のアップデートのことです。

現在の最新は2013年版ですので、2022年現在、すでに９年間規格改訂が行われていないことが分かります。

2021年4月に、ISO27001の規格改訂について検討を行う旨が発表されました。

おそらく2023年の頭には新しい要求事項（日本語版）が発行されると考えられます。

現在ISO27001を取得して運用されているご担当者は、改訂された要求事項が出たら、どこが変わったのか詳細を確認し、対応しなければなりません。

場合によっては書類を変更したり、新しい対策を講じる必要が出てくるでしょう。

まとめ

ISMS（ISO27001）とは、情報セキュリティに関する国際規格です。「2013」という数字は改訂年数を表します。

情報セキュリティマネジメントシステム（ISMS）を構築し、情報の機密性、完全性及び可用性を維持し、リスクを管理していくための仕組みづくりをしていくためにあります。

ISO27001：2013（ISMS）を運用する上でのポイントは、

（１）適用宣言書

（２）リスクアセスメント

（３）リスク対応

の３つがあります。

ISO27001：2013（ISMS）の規格改訂について、時期や内容など詳細は未定となっていますが、

2023年はじめに改訂された要求事項が発表されるのではないかと考えられます。

最新情報には常にアンテナを張っておきましょう。

今後もISMS（ISO27001）認証は増加の傾向をたどり、情報セキュリティに対する興味は取引先や顧客、官公庁と信頼関係を築くうえで無視できないものになってきます。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

＼SNSでシェアしてね／