[4] ISO27001改正の動向 2012年10月

2012年10月下旬に行われたISO SC27のローマ会議で、CD3(委員会草案第3版)からDIS(国際規格草案)に進むことが決定しました。これにより今後のISO27001発行までの期間は早まると思われ、おそらく2013年には、FDIS(最終国際規格草案)、さらにはIS(国際規格)が発行されるものと思われます。

リスクアセスメント/リスク対応は、箇条6(計画)に置くか、箇条8(運用)に置くかの議論がありましたが、CD3のままの箇条6に置かれることが決まりました。これは日本の主張とも一致し、結果としては妥当であると評価できます。議論の背景としては、各MS固有の要求事項はすべて箇条8に入れ、箇条6は全MS共通の内容とすべきとの意見が根強くあったためです。そのため既に発行されたISO22301(事業継続マネジメントシステム)では、BIA、RAといった事業継続のための分析は、箇条8に置かれています。