審査員コラム
「情報セキュリティ動向とISO27001改訂(2013年版)への対応事例」連載第4回

ISO9001/ISO14001/ISO27001 主任審査員 小野木 正人

2015/3/20up

ISO27001の豊富な審査経験を活かして、情報セキュリティや個人情報保護の動向、
ISO27001(2013年版)改訂の重要ポイントの解説、そしてこれらに伴う
組織の対応事例などを、数回に亘って連載します。(隔週金曜日掲載)

お断り
本コラムの内容は一般的な見解を述べたものであり、
個別の審査において一律に適用されることを保証するものではありません。


情報セキュリティ動向とISO27001改訂への対応事例 | ISO認証機関 ビューローベリタス
連載第4回となる本稿でも、引き続き2013年に改訂されたISO27001の改訂ポイントを解説します。

今回は、規格要求事項の“6.1 リスク及び機会に対処する活動”の“6.1.3 情報セキュリティリスク対応”に関する規格改訂のポイントと留意点について解説します。

最初に、“6.1.3 情報セキュリティリスク対応”での主な変更点は、“付属書Aの管理策”にあたる「適用宣言書」の内容変更です。“付属書Aの管理策”が要求事項として適用される規格は、ISO27001以外では見られません。これらの管理策が約130項目もあるのが、ISO27001規格の特徴ともいえます。

さて、この“付属書Aの管理策”の構成ですが、2005年度版では11(A.5~A.15)あった分類が、2013年度版では14分類(A.5~A.18)と細分化されました。これらの管理策はすべて適用する必要はなく、自組織に関係しないと判断できる管理策は、除外理由を明記すれば“適用除外”することが出来ます。この点は2005年度版と同じですが、2013年度版では、適用除外していない“管理策を実施しているか否か”を明記する必要が追加されました。

この要求事項の追加の意図は、例えば外出先から社内のサーバーにアクセスする「テレワーキング」など、将来的に実施する予定があって、仕組みは構築しているので適用除外にはできないが、現在は実施していない管理策などを考慮したものであると思われます。この追加要求事項に対応するための方法として、「適用宣言書」の“採否”欄の隣に“実施の有無”欄を追加して対応している組織が多いようです。

次に、“6.1.3 情報セキュリティリスク対応”の「f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について、リスク所有者の承認を得る。」では、“リスク所有者の承認”が求められています。
2005年度版では“経営陣の承認”が必要であったことから、軽微な変更となっています。
ここでのポイントは、従来からの“経営陣の承認”はそのまま継続して実施し、新たに“リスク所有者の承認”を追加すればよいのですが、この要求事項が変更されたことを見逃している組織が多いので留意が必要です。

また、“6.1.3 情報セキュリティリスク対応”の最後にある“注記”には、「この規格の情報セキュリティリスクアセスメント及びリスク対応のプロセスは、JISQ31000に規定する原則及び一般的な指針と整合している。」とあります。
“注記”なので、つい読み飛ばしてしまいがちになりますが、非常に重要なことが記載されています。

この“注記”で参照が求められているJISQ31000:2010(リスクマネジメント−原則及び指針)には、全てのリスクを運用管理するための汎用的なプロセスと、そのプロセスを効果的に運用するための枠組みが提供されています。また、組織としてのリスクマネジメントの運営に必要な要素と、各要素の有機的な関係が示されています。そして、このリスク対応のプロセスとして、JISQ31000に規定する原則及び一般的な指針との整合を求めているのです。

ちなみに、2005年度版では、リスク対応のための選択肢として、次の4つが示されていました。
1) 適切な管理策の適用
2) 組織の方針及びリスク受容基準を明確に満たすリスクの受容
3) リスクの回避
4) 関連する事業上のリスクの他者(例えば,保険業者,供給者)への移転

これに対して、JISQ31000の“2.25リスク対応”には、7つの選択肢が示されています。
1) リスクを回避すること。
2) 機会を追及するために、リスクをとるまたは増加させること。
3) リスク源を除去すること。
4) 起こりやすさを変えること。
5) 結果を変えること。
6) 他者とリスクを共有すること。
7) リスクを保有すること。

2013年度版では、2005年版の4つの選択肢に加えて、JISQ31000で示されている上記の7つを選択肢に加えておくと良いでしょう。“注記”の文面からは、少し解りにくいので、留意が必要です。

最終回となる連載第5回(4月3日掲載予定)では、規格要求事項の“6.2 情報セキュリティ目的及びそれを達成するための計画策定”に関する規格改訂のポイント及び留意点と、法規制やガイドラインの順守、コンプライアンスなどを解説予定です。


(続く/本連載は隔週金曜日に掲載します)
・連載一覧はこちら

 

お問い合わせフォーム

 

お見積り依頼はこちらから

 

認証機関の変更をご検討ですか

 

フライヤー・パンフレットをダウンロード

 

開催予定一覧はこちら

 

関連ニュース

 

関連サービス