情報セキュリティマネジメントシステム(ISMS)のための要求事項ISO / IEC27001は、2013年10月に改定版が発行された。この改定※1の趣旨を整理すると以下のとおりになる。
共通要素に従って、後述の1章〜10章の章立てになっている(表4)。この流れで改定のポイントや審査での変更点を見ていく。
ISO/IEC 27001の2005年版では適用範囲は組織が定めるだけでよかったが、2013年版では、なぜその適用範囲にしたのか、根拠を明らかにし、文書化した情報として明示することが求められ、4章「組織の状況」で述べられている※2。このことは、従来の審査で触れてこなかったわけではない。JQAでは、審査の際に適用範囲を決めた理由を聞いていた。その上で、例えばインターネットのファイアーウォールを境界(バウンダリー)として、ファイアーウォールの内側でセキュリティ対策が取られ、保たれているかどうかを見るという審査を行っていた。従来から境界をどこに置くかがポイントであったが、根拠を明示することで、実際の運用がより明瞭になる。
今回の改定では、6章「計画」※3で、2通りのリスクについての要求事項が入っている。一つは、ISMSが成果を出すうえで直面する全社的なリスクであり、組織の評判や存続にかかわるリスクである。もう一つは情報セキュリティリスクである。情報セキュリティリスクは従来通りの情報に対するリスクのことを示している。どの組織でも事業存続のための活動を日常的に行っている。それを明示したものととらえればよい。例えば、従業員の年齢構成などもリスクの一つとなり得る。
6章「計画」ではまた、情報セキュリティ目的を確立し、それをどうやれば達成できるかのアクションプランの作成も求められる。
現行版と比較して具体化されており、測定可能であることが要求され、計画、実施、レビュー、改善によるPDCAサイクルが明確になっている。達成度の判定が可能であり、達成へ向けたアクションプラン、進捗管理が明確ならば、これまでの年度目標のようなものでも問題はない。
6章「計画」では、「脅威」「ぜい弱性」、リスク対応の選択肢における「受容」「回避」「移転」といった用語が削除されている。ただし削除されたからマネジメントシステムも変えなければいけないということではない。今まで作り上げてきたリスクアセスメント手法が十分であると考えるなら、変更の必要はない。
附属書Aにおける管理策は、技術の変化に対応した変更がなされた。管理策の総数は、133から114へと減少している。
改定版への移行期間は2年(2015年9月末まで)となった。
JQAでは現在移行審査を受付けている。移行審査は定期審査あるいは更新審査に合わせて受審すれば追加工数はない。
移行審査を受ける際には、改定版に基づく新規、追加要求事項の運用実績(数ヵ月)が必要 とされる。この実績に基づき、改定版による内部監査、マネジメントレビューの実施、および適用宣言書の改版も必須である。
ご希望により、業務相談、予備審査も実施する。なお、JIS Q 27001の発行時期は2014年3月が見込まれている。
ISO/IEC 27001改定が組織に与える影響は?
いままでのISO/IEC 27001は、管理策にマネジメントを追加してできている構造という印象があり、概念的にもやや整理できていないように見えていました。例えば、違いがわかりにくい「ISMS基本方針」と「情報セキュリティ基本方針」を定義することが求められていたことなどです。今回の改定で、一連の情報セキュリティマネジメント(ISMS)の規格のISO/IEC 27000ファミリー※4の中で、ISO/IEC 27001は他の規格との関係もすっきり整理され、ISO/IEC 27000ファミリーの中核規格となりました。
ICT技術は目まぐるしく変化しており、クラウドコンピューティングを始め、インフラ制御システムに関する情報セキュリティのリスクは広がり続けています。このようなビジネス環境と直結した情報セキュリティマネジメントは、ICT企業だけでなくさまざまな組織から注目され、守るだけではなく、情報を活用するセキュリティへの展開を予感させます。
改定でISO/IEC 27001は、「How to」ではなく、「What」が中心になりました。今後、ISMS規格が個人情報、クラウドや通信などに広がっていくことを想定し、拡張性を持たせ、汎用性を高めた反面、どのように構築するか、具体的に何をすればいいかが、わかりにくくなっているように思えます。
今回の改定を振り返って注目しているポイントは以下のとおりです。①ISMSの認証規格として2005年版の継承。②マネジメントシステム規格の共通要素採用によるマネジメントシステム規格間の整合。③組織の内外の課題と利害関係者のニーズ及び期待を考慮した適用範囲の決定。④組織のプロセスへのISMS要求事項の統合。⑤リスクマネジメント規格ISO 31000との整合。
組織がISO/IEC 27001:2013に移行するために必要なことは?
ISO/IEC 27001:2013への移行は、いまある形をなるべく生かし必要最小限の変更で考えてください。現行の基準の方が詳しいところは捨てずに利用してもよく、過剰な部分は整理しスリム化してもいいかもしれません。
具体的な準備は、まず、組織のセキュリティに関する内外の課題を意識していただくと同時に、ISMSを実施しビジネスで何を成し遂げたいのか、ビジネス上どういうメリットを得ようとしているのかを意識していただきたいと思います。それを踏まえて、ISMSの適用範囲は正しいのか、方針はこれでいいのか確認していただきます。次に、目的を達成するための計画をきちんとつくり、パフォーマンスを評価と有効性の測定を行います。さらに、社内ルールについて管理策を中心に新旧の基準のギャップ分析を行い、リスク分析と結び付けて採用、不採用を明確にします。
2013年版への移行審査を受けるための必須事項は、①適用宣言書を2013年版に全面改定すること、②2013年版に適合するISMSを運用し、内部監査、マネジメントレビューを実施することです。また、規格改定を機に、①マンネリ化、形骸化してしまったシステムのムリ・ムダを洗い出し、現在の組織のニーズに合わせて見直しを行うことや、②ISO 9001やISO 14001など他のマネジメントシステムとの統合運用を視野に入れ、組織全体のマネジメントシステムの見直しを行うことを推奨します。
審査機関としての対応は?
この改定後もJQAの審査は大幅に変わることはありません。ISO/IEC 27001の審査は組織のビジネスプロセスに沿って行うことになりますが、JQAは10年以上前から、組織のビジネスプロセスに沿って組織のビジネスや経営をふまえたプロセス審査を行っており、大幅な変更は必要ないのです。また、共通要素の採用で他のマネジメントシステムとの統合運用が容易になり、新たに組織の戦略に必要なマネジメントシステムを追加導入する負荷も小さくなります。
JQAでは移行審査の受付を開始しています。ご心配があれば、事前に業務相談、予備審査サービス(いずれも有料)のご利用も可能です。移行期間についてのお知らせはJQAのWebサイトで別途公開します。
※4 ISO/IEC 27000 ファミリー(情報セキュリティマネジメントシステムに関する国際規格;作成中規格含む):ISO/IEC 27000(概要及び用語)、ISO/IEC27001(要求事項)、ISO/IEC 27002(管理策の実践のための規範)、ISO/IEC 27003(実施の手引)、 ISO/IEC 27004(測定)、ISO/IEC 27005(情報セキュリティリスクマネジメント)、 ISO/IEC 27006(監査及び認証を行う機関に対する要求事項)、ISO/IEC 27007(監査のための指針) 、ISO/IEC TR27008(管理策の監査員のための指針;技術報告書)、ISO/IEC 27010(部門間及び組織間コミュニケーションのための情報セキュリティマネジメント)、ISO/IEC 27011(セキュリティ技術− ISO/IEC 27002 に基づく電気通信組織のための情報セキュリティマネジメント指針)、 ISO/IEC 27013(ISO/IEC27001 及びISO/IEC 20000-1 の統合的実施の手引)、 ISO/IEC 27014(情報技術のガバナンス)、 ISO/IEC TR 27015(金融サービスのための情報セキュリティマネジメントの指針;技術報告書)、 ISO/IEC 27016(組織の経済的側面)、ISO/IEC 27017(クラウドコンピューティングサービスにおけるISO/IEC27002 に基づく情報セキュリティ管理策実践のための規範)、 ISO/IEC 27018(クラウドコンピューティングサービスのデータ保護制御の実践のための規範)