審査員コラム
「情報セキュリティ動向とISO27001改訂(2013年版)への対応事例」連載第5回(最終回)

ISO9001/ISO14001/ISO27001 主任審査員 小野木 正人

2015/4/3up

ISO27001の豊富な審査経験を活かして、情報セキュリティや個人情報保護の動向、
ISO27001(2013年版)改訂の重要ポイントの解説、そしてこれらに伴う
組織の対応事例などを、数回に亘って連載します。(隔週金曜日掲載)

お断り
本コラムの内容は一般的な見解を述べたものであり、
個別の審査において一律に適用されることを保証するものではありません。


情報セキュリティ動向とISO27001改訂への対応事例 | ISO認証機関 ビューローベリタス
最終回となる今回は、規格要求事項の“6.2 情報セキュリティ目的及びそれを達成するための計画策定”に関する規格改訂のポイント及び留意点と、法規制やガイドラインの順守、コンプライアンスなどを解説します。

最初に、“6.2 情報セキュリティ目的及びそれを達成するための計画策定”では、
「組織は,関連する部門及び階層において,情報セキュリティ目的を確立しなければならない。情報セキュリティ目的は,次の事項を満たさなければならない。
 a) 情報セキュリティ方針と整合している。
 b) (実行可能な場合)測定可能である。
 c) 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
 d) 伝達する。
 e) 必要に応じて,更新する。」
との要求事項があります。

2005年度版では、“情報セキュリティ目的”や“目標”の設定は求められていなかったので、追加の要求事項になります。「目的・目標」の設定は、ISO9001やISO14001では当たり前のようになっている要求事項なので、ISO27001でも他のISO規格と整合がとられたと考えられます。ここでの留意点は、「関連する部門及び階層において」となっているので、全社で1つ設定すればよいだけでなく、部門ごとに策定しておく必要があることです。
また、情報セキュリティ“目標”として設定されている組織もありますが、規格で求める“目的”と同義である意図の説明があれば、審査では指摘しないことにしています。

更に、次の要求事項も示されています。
「組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定しなければならない。
 f) 実施事項、g) 必要な資源、h) 責任者、i) 達成期限、j) 結果の評価方法」
従来から、「リスク対応計画」を作成することが求められていたので、その計画に“情報セキュリティ目的を達成するための計画”を追加すればよいでしょう。
この場合、“g) 必要な資源”、i) 達成期限、“j) 結果の評価方法”は、従来の「リスク対応計画」にはなかった項目なので、忘れずに追記しておく必要があります。 2013年版への対応が必要な主な改訂ポイントは以上となります。

この連載の最後のテーマとして、法令順守やコンプライアンスを取り上げます。
MSS(マネジメントシステムスタンダード)として、組織に適用される法規制の特定や法令の登録、順守などのコンプライアンスを守ることは、様々なISOの共通のルールとなっています。

ISO27001でも、コンプライアンスに関しては2005年度版から要求事項があり、2013年版でも、それが継続されています。例えば、“A.18.1 法的及び契約上の要求事項の順守”の“A.18.1.1 適用法令及び契約上の要求事項の特定”では、「組織に適用される、全ての関連する法令、規制及び契約上の要求事項、並びにこれらの要求事項を満たすための組織の取組みを、明確に特定し、文書化し、また、最新に保たなければならない」とされています。

一般的に、ISO27001を取得している組織では、情報セキュリティ、個人情報保護、情報システムなどに関連する法規制や条例などを調査して、「法規制一覧表」「法規制登録簿」「法規制管理台帳」などの名称で一覧表にまとめられています。どの法規制が適用されるかは、組織の規模や業種にもよるので様々ですが、多くの組織が登録している法規制や条例の例を略称で示すと、個人情報保護法、刑法、不正アクセス禁止法、知的財産基本法、著作権法、個人情報保護条例(都道府県及び市町村)などがあります。

法令や条例のみならず、ガイドラインなども関連するものは登録しておくことが望まれます。例えば、最近では“情報処理推進機構(IPA)”が策定した「組織における内部不正防止ガイドライン」があります。このガイドラインは、昨今の相次ぐ個人情報流出問題に対応するため2013年3月に策定され、B社の個人情報流出問題をきっかけとして2014年9月に改訂されました。非常にボリュームがあるガイドラインですが、チェックリストや事例集なども付表としてついており、読みやすいものとなっています。

また、“情報処理推進機構(IPA)”のウェブサイトには、無料で利用できる「情報セキュリティ教育のコンテンツ(eラーニング)」なども豊富にあるので、管理責任者や事務局、教育担当者などは、参考にされると良いでしょう。

以上で、「情報セキュリティ動向とISO27001改訂への対応事例」の連載は終了となります。 皆様の組織においてISO規格が「経営に真に寄与するツール」として有効活用され、組織の永続的な発展につながることを心より祈ります。ご愛読に感謝します。ありがとうございました。


 

お問い合わせフォーム

 

お見積り依頼はこちらから

 

認証機関の変更をご検討ですか

 

フライヤー・パンフレットをダウンロード

 

開催予定一覧はこちら

 

関連ニュース

 

関連サービス