ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISO27001:2013(ISMS):2013年度規格改訂 7項「支援」規格解釈

2019年6月24日

今日はISO27001:2013(ISMS)の「7.支援」について解説します。
まずは要求事項を確認してみましょう。

要求事項

7 支援

7.1 資源
組織は、ISMSの確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

7.2 力量
組織は、次の事項を行わなければならない。

a)組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。
b)適切な教育、訓練又は経験に基づいて、それらの人々が力量を備えていることを確実にする。
c)該当する場合には、必ず、必要な力量を身につけるための処置をとり、とった処置の有効性を評価する。
d)力量の証拠として、適切な文書化した情報を保持する 。

注記 適用される処置には、例えば、現在雇用している人々に対する、教育訓練の提供、指導の実施、配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある。

7.3 認識
組織の管理下で働く人々は、次の事項に関して認識をもたなければならない。

a)情報セキュリティ方針
b)情報セキュリティパフォーマンスの向上によって得られる便益を含む、ISMSの有効性に対する自らの貢献
c)ISMS要求事項に適合しないことの意味

7.4 コミュニケーション
組織は、次の事項を含め、ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a)コミュニケーションの内容(何を伝達するか。)
b)コミュニケーションの実施時期
c)コミュニケ一ションの対象者
d)コミュニケーションの実施者
e)コミュニケーションの実施プロセス

7.5 文書化した情報

7.5.1 一般
組織のISMSは、次の事項を含まなければならない。

a) この規格が要求する文書化した情報
b) ISMSの有効性のために必要であると組織が決定した、文書化した情報

注記 ISMSのための文書化した情報の程度は、次のような理由によって、それぞれの組織で異なる場合がある。

1)組織の規模、並びに活動、プロセス、製品及びサービスの種類
2)プロセス及びその相互作用の複雑さ
3)人々の力量

7.5.2 作成及び更新
文書化した情報を作成及び更新する際、組織は、次の事項を確実にしなければならない。

a)適切な識別及び記述(例えば、タイトル、日付、作成者、参照番号)
b)適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、電子媒体)
c)適切性及び妥当性に関する、適切なレビュー及び承認

7.5.3 文書化した情報の管理
ISMS及びこの規格で要求されている文書化した情報は、次の事項を確実にするために、管理しなければならない。

a)文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適した状態である。
b)文書化した情報が十分に保護されている(例えば、機密性の喪失、不適切な使用及び完全性の喪失からの保護)。

文書化した情報の管理に当たって、該当する場合には、必ず、次の行動に取り組まなければいけない。

c)配付、アクセス、検索及び利用
d)読みやすさが保たれることを含む、保管及び保存
e)変更の管理(例えば、版の管理)
f)保持及び廃棄

ISMSの計画及び運用のために組織が必要と決定した外部からの文書化した情報は、必要に応じて、特定し、管理しなければならない。

注記 アクセスとは、文書化した情報の閲覧だけの許可に関する決定、文書化した情報の閲覧及び変更の許可及び権限に関する決定などを意味する

結局7章が求めていることは?

要求事項の分になると難しく感じてしまいますが7章が求めていることはマネジメントシステムを支援する基本要素を言っています。

「7.1 資源」では、ISO27001:2013(ISMS)を運用、継続的改善をするときに必要な資源を決定し、提供しなければなりません。
簡単に言うと、お仕事をする上で、なくてはならないもの、当たり前のことを準備するように記載されています。決してISMSに特化したものではありません。

「7.2 力量」では社内で定めた力量を持っているか確認します。力量という子駑馬は普段聞きなれない言葉ですよね。
用語の解釈では「意図した結果を達成するために、知識及び技能を適用する能力」今まで従業員が受けてきた教育や訓練、経験などから本当にその力量を持っているかどうか確認します。
力量が不足していると判断した場合は、再教育など何らかの処置を講じる必要があります。何らかの教育や処置を行った場合は記録の作成も忘れてはいけません。

「7.3 認識」では組織の管理下で働く人々は、a~cに関して知っていなければならないということです。
a~cの項目において組織下にいる人たちがどれだけ理解しているかは常日頃の代表や管理責任者がどれだけ頻繁に声かけしているかだと思います。
リーダーシップに期待です。

「7.4 コミュニケーション」では、外部とのコミュニケーションをとるために必要な事項を決めます。
5W1Hで考えるといいですね!

「7.5 文書化された情報」では文書化された情報を作成~承認、更新までの基本が書かれています。
文書化した情報は社内で展開した後、改廃を管理しなければいけません。その責任は明確にしておかないといけませんね!
お客様先に訪問すると、旧版のマニュアルをまだ保管していたり、新しい手順書が共有されていなかったりするところをよく目にします。紙で管理しているとこのような出来事が多いので、ぜひデータで管理し、あまり出力しない方法をお勧めします。

長々とご説明しましたが、ご理解いただけましたでしょうか?
もっと話が詳しく聞きたい!という方は、ぜひ認証パートナーにお問い合わせ下さい!

\ 便利なWEBお問い合わせフォームはこちら /
WEBお問い合わせ

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。