ISMS(ISO27001)認証お役立ちコラム
2022年7月12日
ISMS(ISO27001)は2013年10月1日に改訂され現在の最新版となっていますが、2023年に規格の改訂が予定されています。
ISMS(ISO27001)2013年度版の運用のポイントは、①適用宣言書②リスクアセスメント③リスク対応の3点です。
ISMS2013年度版の規格のポイントについても深堀りしてご紹介していきます。
1.ISMS(ISO27001):2013とは
ISMS(ISO27001)とは、情報セキュリティに関する国際規格です。
「2013」という数字は改訂年数を表します。
ISMSは、情報セキュリティマネジメントシステム(ISMS)を構築し、情報の機密性、完全性及び可用性を維持し、リスクを管理していくための仕組みづくりをしていくためにあります。
ISMS(ISO27001)を認証取得することで、お客様や関係するお取引先などに信頼を与えることもできます。
2.ISMS(ISO27001):2013年度版運用のポイント
ISO27001:2013(ISMS)を運用する上でのポイントを、今回は3つに絞ってご紹介します。
(1)適用宣言書
(2)リスクアセスメント
(3)リスク対応
(1)適用宣言書
ISO27001は大きく分けると本文とそれに付随する附属書という2つに分かれています。
本文とはISO27001を構築・運用する上での最低限の必須事項が記載されているもので、
附属書とは安全対策やその目的に付いて記されたものです。
この附属書Aを基に、組織に該当する内容、該当しない内容を洗い出したものが適用宣言書となります。
書かれている一例を記載すると
・A.12.1.4 開発環境、試験環境及び運用環境の分離
開発環境、試験環境及び運用環境は、運用環境への認可されていないアクセス又は変更によるリスクを低減するために、分離しなければならない。
・A.14.2.1 セキュリティに配慮した開発のための方針
ソフトウェア及びシステムの開発のための規則は、組織内において確立し、開発に対して適用しなければならない。
このような内容になっています。
これらの記載はシステム開発業務を行っている会社以外では業務内容が該当しないかもしれません。
その場合、この管理策は適用しないと選択を行うことができるというものです。
附属書A内容を適用するかしないかを公表するという意味で、適用宣言書と呼ばれています。
まずは適用するもの、しないものを洗い出し、それに基づいた安全対策の確立を行いましょう。
(2)リスクアセスメント
情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。
リスクアセスメントを実施するための基準を作ること、リスクを受容する基準を作ることなどが求められています。
つまり、リスクアセスメントとはリスクに対する基準を作り、リスクを評価することをいいます。
ちなみにリスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。
リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。
(3)リスク対応
リスクアセスメントの結果、特別にリスク対策を講じなければならない項目を決定します。
各資産に対して対策を実施されていると思います。
例えば履歴書のような紙の資産であれば鍵のかかるキャビネットに保管するような対策ですが、
これに対して鍵付きキャビネットに保管するだけでは足りず鍵の保有者を制限する、
キャビネットを耐火防水素材のものにするなど、その資産の重要度によっては他とは異なる対策が必要になるかもしれません。
そうした対応をリスク対応と言います。
ISO27001:2013(ISMS)はリスクを低下させるための規格です。
そのため、リスクについて事前に洗い出し、評価を行い、リスク低減を行いましょう。
3.ISMS(ISO27001)の取得基準を満たすには?
(1)外部内部の課題
先ほどのCIAの観点で、組織の内部及び外部の課題について洗い出すセクションです。
ここでいう課題とは、好ましい要因又は状態、及び好ましくない要因又は状態が含まれるところがポイントです。
課題と聞くと好ましくない現状の課題と認識しがちですが、規格では検討の対象となる好ましい要因又は状態も踏まえることが求めらています。
(2)リスクアセスメント
情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。
リスクアセスメントを実施するための基準を作ること、リスクを受容する基準を作ることなどが求められています。
つまり、リスクアセスメントとはリスクに対する基準を作り、リスクを評価することをいいます。
ちなみにリスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。
リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。
(3)リスク及び機会への取り組み
マネジメントシステムを計画する時に、
ここまで理解してきた組織及びその状況等を考慮し、
リスクへの取組みの選択、あるいは機会を追及するためにそのリスクをテイクすること、
またはリスクを低減させる取り組み、あるいはチャンスをつかむための新たな取り組み等を計画します。
4.次回の規格改訂はいつ?
規格改訂とは、規格のアップデートのことです。
現在の最新は2013年版ですので、2022年現在、すでに9年間規格改訂が行われていないことが分かります。
2021年4月に、ISO27001の規格改訂について検討を行う旨が発表されました。
おそらく2023年の頭には新しい要求事項(日本語版)が発行されると考えられます。
現在ISO27001を取得して運用されているご担当者は、改訂された要求事項が出たら、どこが変わったのか詳細を確認し、対応しなければなりません。
場合によっては書類を変更したり、新しい対策を講じる必要が出てくるでしょう。
まとめ
ISMS(ISO27001)とは、情報セキュリティに関する国際規格です。「2013」という数字は改訂年数を表します。
情報セキュリティマネジメントシステム(ISMS)を構築し、情報の機密性、完全性及び可用性を維持し、リスクを管理していくための仕組みづくりをしていくためにあります。
ISO27001:2013(ISMS)を運用する上でのポイントは、
(1)適用宣言書
(2)リスクアセスメント
(3)リスク対応
の3つがあります。
ISO27001:2013(ISMS)の規格改訂について、時期や内容など詳細は未定となっていますが、
2023年はじめに改訂された要求事項が発表されるのではないかと考えられます。
最新情報には常にアンテナを張っておきましょう。
今後もISMS(ISO27001)認証は増加の傾向をたどり、情報セキュリティに対する興味は取引先や顧客、官公庁と信頼関係を築くうえで無視できないものになってきます。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ