[5] ISO27001改正の情報 2014年4月

ISMS規格の発行

ISO/IEC 27001:2013(情報セキュリティマネジメントシステム−要求事項)が2013年10月1日に、JIS Q 27001:2014が2014年3月20日に発行されました。それと同時に、JIS Q 27000:2014(概要及び用語)、JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)も発行されました。


ISMS規格改正の概要

@MSS(マネジメントシステム規格)共通化の適用

・QMS、EMSを含む全てのISO-MS規格が、共通化されることになり、ISMSが既存の規格の改正としては、その適用第一号となりました。

AISO31000(リスクマネジメント−原則及び指針)との整合化

・MSS共通化に伴い、情報セキュリティリスクアセスメント及びリスク対応のプロセスがISO31000と整合化されました。

BISMS有効性の向上

・情報セキュリティ目的達成管理が導入されました。

・パフォーマンス評価が導入されました。

C附属書A管理目的・管理策の整理

・重複をなくし、適切な管理目的の配下に管理策を組み入れ直しました。

・附属書Aは基本的にはマネジメントに関する指針と位置付けられ、技術的事項は減らす方向になりました。

D分野別ISMSのための拡張

・ISO27009(セクター/サービス固有の認定された第三者認証のためのISO/IEC27001適用の利用)への対応がされました。

・附属書A以外の管理策を、セクター固有の管理策セットから採用できるようになりました。

 

ISMS規格改正のポイント

今回の規格改正では規格本文が改正の主眼であり、附属書Aはそれに比べるとマイナーチェンジにとどまっていると言えます。

基本的に、これまで影も形もなかったものが、今回いきなり追加されたというものはありません。新規の要求事項であっても、これまでの規格でも大抵何らかの記述があります。それが規格改正で、より詳細かつ具体的になり、要求事項の意図が明確になったということでしょう。

また、規格改正の狙いとしては、現在は表面的な適合性を重視する風潮がありますが、その風潮に終止符を打ち、有効性に主眼を置くことです。言い換えれば組織の自主性を尊重する姿勢が、規格に色濃く反映されていると言えます。改正規格では、文書化要求事項、リスクアセスメント上の要求事項の記述が減っています。これを「表面的な適合性重視」の立場で解釈すれば、「改正規格はハードルが低く簡単になった」となるでしょう。しかし実際はその逆であり、認証審査においても、「形式的に文書さえ作ってあればOK」という訳にはいかなくなるでしょう。

 

@4 組織の状況

<要求事項の主旨>

 新規に追加となった要求事項です。組織の内部環境、外部環境の把握、利害関係者のニーズ・期待の把握が要求されています。それらを前提に、マネジメントシステムの適用範囲が決定されていること、さらには当該マネジメントの方針や目的も組織の状況を前提とする組織の目的と整合していることが要求されています。

<対応の考え方>

 意図的にリスクの低い部分に限定したもの、主要業務が除外され業務実体がほとんどないものなどがあれば、見直すべきでしょう。

 

A6.1.2 情報セキュリティリスクアセスメント

<要求事項の主旨>

 これまでもISMS規格にあったリスクアセスメントと、基本的な主旨は同様であると考えられます。ただし、他のマネジメントシステムとの共通化の結果、ISMS規格のリスクに関する記述の分量が大幅に減っています。その代わりに、ISO31000に基づくリスクマネジメントを基礎とするようになりました。

<対応の考え方>

 規格要求事項がシンプルになったことは、リスクアセスメントを有効なものにするための良い機会であると思います。これまでは、規格の詳細な要求事項に基づく複雑なテンプレートやガイドが流布し、リスクアセスメントが体裁だけ整っているものの、有効に機能していないという例が多数見られました。その意味では、この機会にリスクアセスメントをシンプルかつ有効に見直すべきでしょう。

一方、これまでのリスクアセスメント方式では、改正規格に対し不適合になるかというと、そうではありません。そもそも改正規格がリスク概念の基礎とするISO31000は、要求事項ではなくガイドラインです。また、これまでの方式であっても、ISO31000の規格の主旨に反することはないと思われます。したがって、これまでのリスクアセスメント方式を改善して有効性を高めていくというのも1つの方法ではあります。

 

B6.1.3 情報セキュリティリスク対応

<要求事項の主旨>

これまでの規格では、「管理目的及び管理策は、リスクアセスメント及びリスク対応のプロセスにおいて特定した要求事項を満たすために選択し、導入しなければならない。・・・・・・・・このプロセスの一部として、附属書Aの中から特定した要求事項を満たすために適切なように、管理目的及び管理策を選択しなければならない。」となっています。これに対し、改正規格では、「選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。・・・・・・・決定した管理策を附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証する。」と変わっています。これまでの規格では管理策は附属書Aから選択するものだったのが、改正規格では、管理策は(自ら考えて)決定し、それを見落としが無いかの意味で、附属書Aと比較検証することに変わりました。リスクは、組織や業界、地域や国等によって固有なものがあり、必ずしも附属書Aの管理策では網羅しきれていません。したがって組織はリスクに対して適切な管理策を、附属書Aに拘らずに主体的に考え出す、あるいは附属書A以外の管理策集から持ってくるということです。その結果、リスクアセスメント結果と管理策の整合性がより強く求められるということになります。

<対応の考え方>

リスクアセスメントの体裁はともかく、リスクアセスメント結果と管理策が整合しているかが重要です。また組織固有のリスクに対し、管理策が決定され、適用宣言書に反映されているかもポイントとなってきます。

 

C6.2 情報セキュリティ目的及びそれを達成するための計画策定

<要求事項の主旨>

 品質マネジメントシステム、環境マネジメントシステムと同様の、測定可能な目的(目標)の設定とその達成管理が要求されています。

<対応の考え方>

 品質マネジメントシステム、環境マネジメントシステム同様に、目的(目標)の管理が行なわれているということです。

 

D9.1 監視、測定、分析及び評価

<要求事項の主旨>

 これまでの規格の「ISMSの有効性のレビュー」や「管理策の有効性測定」に相当する要求事項です。「パフォーマンス評価」というより大きな概念の下に位置付けられています。また、情報セキュリティ目的の達成を裏付けるための活動とも言えます。

<対応の考え方>

情報セキュリティ方針、目的のために必要なKPI(キー・パフォーマンス・インディケータ)を設定し、監視、管理し、PDCAを回し、目的達成に結びつけることが重要です。管理策全てを測定しなければならないというような形式的な要求事項ではありません。