審査員コラム
「情報セキュリティ動向とISO27001改訂(2013年版)への対応事例」連載第2回

ISO9001/ISO14001/ISO27001 主任審査員 小野木 正人

2015/2/20up

ISO27001の豊富な審査経験を活かして、情報セキュリティや個人情報保護の動向、
ISO27001(2013年版)改訂の重要ポイントの解説、そしてこれらに伴う
組織の対応事例などを、数回に亘って連載します。(隔週金曜日掲載)

お断り
本コラムの内容は一般的な見解を述べたものであり、
個別の審査において一律に適用されることを保証するものではありません。


情報セキュリティ動向とISO27001改訂への対応事例 | ISO認証機関 ビューローベリタス
今回より、2013年に改訂されたISO27001の改訂ポイントを順次解説していきます。

最初に、2013年改訂における最大の変更点は、規格要求事項の条項番号つまり規格条文の体系が見直されたことです。
具体的には、従来の規格要求事項は、「1.適用範囲から8.ISMSの改善」までの8条項であったものが、「1.適用範囲から10.改善」までの10条項になりました。これは一見、大した変更に見えませんが、実はISO規格全般にとって改革的な出来事なのです。

既にご承知のように、ISO9001とISO14001も2014年にDIS(Draft International Standard)つまりドラフト版ISOが発行され、今年、2015年中に2015年改訂版が発行される予定です。ISO27001と両規格は、それぞれが独自の規格要求事項体系を持っていましたが、今後はISO27001:2013と同じ規格条文体系になるのです。

これは「マネジメントシステム規格の整合化」として、ISOが2006年から2011年にかけて、ISO9001、ISO14001、ISO27001などのISOマネジメントシステム規格(ISO MSS:Management System Standard)の整合性を図るための検討を行い、ISO MSSの上位構造(HLS:High Level Structure)、共通テキスト(規格要求事項)、共通用語・定義を開発したためです。

そしてこれらを共通構造(付属書SL)として、2012年2月にISO/TMBにおいて承認され、今後、制定/改正される全てのISO MSSにおいて原則として採用することが義務付けられたのです。ここでは、共通構造の序文から10章までを示しておきます。
「共通構造=序文、1.適用範囲、2.引用規格、3.用語及び定義、4.組織の状況、5.リーダーシップ、6.計画、7.支援、8.運用、9.パフォーマンス評価、10.改善」

ISO27001の2013年版は、この最初のISO MSSとなりました。逆に言えば、今後発行及び改訂されるISOの体系は、ISO27001を参考にすれば良いとも言えます。ご参考までに、「マネジメントシステム規格の整合化」の詳細は、日本規格協会ウェブサイトで公開されています。

次に、個々の改訂ポイントを解説していきます。
上記の共通構造の“4.組織の状況”は、これまでに無かった新しい切り口での改訂箇所です。この4章は、更に4つに細分化されていますが、特に4.1から4.3が改訂ポイントです。
最初に、“4.1 組織及びその状況の理解”では、「外部及び内部の課題を決定すること」が求められていますが、「これらの課題の決定とは、JISQ31000:2010の5.3に記載されている組織の外部状況及び内部状況の確定のことをいう。」との“注記”も記載されており、ISO31000:2009(リスクマネジメントの原則及び指針)の参照を求められている点に留意する必要があります。ISO31000:2009の参照については、今後解説予定の条項でも出てくるので、その際に詳しく触れたいと思います。

次に、“4.2 利害関係者のニーズ及び期待の理解”では、「ISMSに関連する利害関係者」と「その利害関係者の情報セキュリティに関連する要求事項」が求められています。ここでの利害関係者とは、顧客や取引先などを特定している事例が多数あり、関連する要求事項として「主要取引先からISO27001の認証を取得することが求められている」などの事例も増えています。

最後に、“4.3 情報セキュリティマネジメントシステムの適用範囲の決定”では、
「ISMSの適用範囲を定める際は、次の事項を考慮すること。
 a) 4.1に規定する外部及び内部の課題
 b) 4.2に規定する要求事項
 c) 組織が実施する活動と他の組織が実施する活動との間のインターフェース及び依存関係」
が求められており、これで4.1~4.3が関連していることがわかります。

さらに、“4.組織の状況”と関連している条項が、“6.1 リスク及び機会に対処する活動”です。ここでは、
「ISMSの計画を策定するとき,組織は,4.1に規定する課題及び4.2に規定する要求事項を考慮し,次の事項の
 ために対処する必要があるリスク及び機会を決定する。
 a) ISMSが,その意図した成果を達成できることを確実にする。
 b) 望ましくない影響を防止又は低減する。
 c) 継続的改善を達成する。」
とあります。この条項には、ISMSの計画を策定する際に、従来からあった“リスク(Risks)”を考慮するのみならず、新たに“機会(Opportunities)”も考慮すべきとの意図があります。“機会”という用語ではわかりにくいので、“チャンス”と読み替えても良いでしょう。
具体的には、リスクを認識して対応するのみならず、「取引先からの適切な情報セキュリティ対応などの要求に応えることで、新たな取引を生み出し、ビジネスチャンスに繋げる」などがあり、組織がISMSに取り組むモチベーションになるとの発想です。

繰り返しになりますが、上記の解説はISOの共通構造の一環ですから、“情報セキュリティISMS”を“品質QMS”や“環境EMS”と置き換えれば、ISO9001やISO14001の改訂対応の参考となるでしょう。

連載第3回(3月6日掲載予定)では、規格要求事項の“6.1 リスク及び機会に対処する活動”の“6.1.2 情報セキュリティリスクアセスメント”に関する規格改訂のポイントと留意点について解説予定です。

(続く/本連載は隔週金曜日に掲載します)
・連載一覧はこちら

 

お問い合わせフォーム

 

お見積り依頼はこちらから

 

認証機関の変更をご検討ですか

 

フライヤー・パンフレットをダウンロード

 

開催予定一覧はこちら

 

関連ニュース

 

関連サービス