ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

【徹底解説】ISO27001(ISMS)2013年度版とは?運用のポイント3点

2022年7月12日

【徹底解説】ISO27001(ISMS)2013年度版とは?運用のポイント3点

ISMS(ISO27001)は2013年10月1日に改訂され現在の最新版となっていますが、2023年に規格の改訂が予定されています。
ISMS(ISO27001)2013年度版の運用のポイントは、①適用宣言書②リスクアセスメント③リスク対応の3点です。
ISMS2013年度版の規格のポイントについても深堀りしてご紹介していきます。

1.ISMS(ISO27001):2013とは

 

ISMS(ISO27001)とは、情報セキュリティに関する国際規格です。

「2013」という数字は改訂年数を表します。

 

ISMSは、情報セキュリティマネジメントシステム(ISMS)を構築し、情報の機密性、完全性及び可用性を維持し、リスクを管理していくための仕組みづくりをしていくためにあります。

ISMS(ISO27001)を認証取得することで、お客様や関係するお取引先などに信頼を与えることもできます。

 

2.ISMS(ISO27001):2013年度版運用のポイント

 

ISO27001:2013(ISMS)を運用する上でのポイントを、今回は3つに絞ってご紹介します。

 

(1)適用宣言書

(2)リスクアセスメント

(3)リスク対応

 

(1)適用宣言書

ISO27001は大きく分けると本文とそれに付随する附属書という2つに分かれています。

本文とはISO27001を構築・運用する上での最低限の必須事項が記載されているもので、

附属書とは安全対策やその目的に付いて記されたものです。

 

この附属書Aを基に、組織に該当する内容、該当しない内容を洗い出したものが適用宣言書となります。

 

書かれている一例を記載すると

・A.12.1.4 開発環境、試験環境及び運用環境の分離

  開発環境、試験環境及び運用環境は、運用環境への認可されていないアクセス又は変更によるリスクを低減するために、分離しなければならない。 

 

・A.14.2.1 セキュリティに配慮した開発のための方針

 ソフトウェア及びシステムの開発のための規則は、組織内において確立し、開発に対して適用しなければならない。

 

このような内容になっています。

これらの記載はシステム開発業務を行っている会社以外では業務内容が該当しないかもしれません。

その場合、この管理策は適用しないと選択を行うことができるというものです。

附属書A内容を適用するかしないかを公表するという意味で、適用宣言書と呼ばれています。

 

まずは適用するもの、しないものを洗い出し、それに基づいた安全対策の確立を行いましょう。

 

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

(2)リスクアセスメント

情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。

リスクアセスメントを実施するための基準を作ること、リスクを受容する基準を作ることなどが求められています。

つまり、リスクアセスメントとはリスクに対する基準を作り、リスクを評価することをいいます。

 

ちなみにリスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。

リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。

 

(3)リスク対応

リスクアセスメントの結果、特別にリスク対策を講じなければならない項目を決定します。

各資産に対して対策を実施されていると思います。

例えば履歴書のような紙の資産であれば鍵のかかるキャビネットに保管するような対策ですが、

これに対して鍵付きキャビネットに保管するだけでは足りず鍵の保有者を制限する、

キャビネットを耐火防水素材のものにするなど、その資産の重要度によっては他とは異なる対策が必要になるかもしれません。

そうした対応をリスク対応と言います。

 

ISO27001:2013(ISMS)はリスクを低下させるための規格です。

そのため、リスクについて事前に洗い出し、評価を行い、リスク低減を行いましょう。

 

3.ISMS(ISO27001)の取得基準を満たすには?

(1)外部内部の課題

先ほどのCIAの観点で、組織の内部及び外部の課題について洗い出すセクションです。

ここでいう課題とは、好ましい要因又は状態、及び好ましくない要因又は状態が含まれるところがポイントです。

課題と聞くと好ましくない現状の課題と認識しがちですが、規格では検討の対象となる好ましい要因又は状態も踏まえることが求めらています。

 

(2)リスクアセスメント

情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。

リスクアセスメントを実施するための基準を作ること、リスクを受容する基準を作ることなどが求められています。

つまり、リスクアセスメントとはリスクに対する基準を作り、リスクを評価することをいいます。

ちなみにリスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。

リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。

 

(3)リスク及び機会への取り組み

マネジメントシステムを計画する時に、

ここまで理解してきた組織及びその状況等を考慮し、

リスクへの取組みの選択、あるいは機会を追及するためにそのリスクをテイクすること、

またはリスクを低減させる取り組み、あるいはチャンスをつかむための新たな取り組み等を計画します。

 

4.次回の規格改訂はいつ? 

 

規格改訂とは、規格のアップデートのことです。

現在の最新は2013年版ですので、2022年現在、すでに9年間規格改訂が行われていないことが分かります。

 

2021年4月に、ISO27001の規格改訂について検討を行う旨が発表されました。

おそらく2023年の頭には新しい要求事項(日本語版)が発行されると考えられます。

 

現在ISO27001を取得して運用されているご担当者は、改訂された要求事項が出たら、どこが変わったのか詳細を確認し、対応しなければなりません。

場合によっては書類を変更したり、新しい対策を講じる必要が出てくるでしょう。

 

まとめ

 

ISMS(ISO27001)とは、情報セキュリティに関する国際規格です。「2013」という数字は改訂年数を表します。

情報セキュリティマネジメントシステム(ISMS)を構築し、情報の機密性、完全性及び可用性を維持し、リスクを管理していくための仕組みづくりをしていくためにあります。

 

ISO27001:2013(ISMS)を運用する上でのポイントは、

(1)適用宣言書

(2)リスクアセスメント

(3)リスク対応

の3つがあります。

 

ISO27001:2013(ISMS)の規格改訂について、時期や内容など詳細は未定となっていますが、

2023年はじめに改訂された要求事項が発表されるのではないかと考えられます。

最新情報には常にアンテナを張っておきましょう。

 

今後もISMS(ISO27001)認証は増加の傾向をたどり、情報セキュリティに対する興味は取引先や顧客、官公庁と信頼関係を築くうえで無視できないものになってきます。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。