[5] ISO27001改正の情報 2014年4月

ISMS規格の発行

ISO/IEC 27001:2013(情報セキュリティマネジメントシステム−要求事項)が2013年10月1日に、JIS Q 27001:2014が2014年3月20日に発行されました。それと同時に、JIS Q 27000:2014(概要及び用語)、JIS Q 27002:2014(情報セキュリティ管理策の実践のための規範)も発行されました。


ISMS規格改正の概要

@MSS(マネジメントシステム規格)共通化の適用

・QMS、EMSを含む全てのISO-MS規格が、共通化されることになり、ISMSが既存の規格の改正としては、その適用第一号となりました。

AISO31000(リスクマネジメント−原則及び指針)との整合化

・MSS共通化に伴い、情報セキュリティリスクアセスメント及びリスク対応のプロセスがISO31000と整合化されました。

BISMS有効性の向上

・情報セキュリティ目的達成管理が導入されました。

・パフォーマンス評価が導入されました。

C附属書A管理目的・管理策の整理

・重複をなくし、適切な管理目的の配下に管理策を組み入れ直しました。

・附属書Aは基本的にはマネジメントに関する指針と位置付けられ、技術的事項は減らす方向になりました。

D分野別ISMSのための拡張

・ISO27009(セクター/サービス固有の認定された第三者認証のためのISO/IEC27001適用の利用)への対応がされました。

・附属書A以外の管理策を、セクター固有の管理策セットから採用できるようになりました。

 

ISMS規格改正のポイント

今回の規格改正では規格本文が改正の主眼であり、附属書Aはそれに比べるとマイナーチェンジにとどまっていると言えます。

基本的に、これまで影も形もなかったものが、今回いきなり追加されたというものはありません。新規の要求事項であっても、これまでの規格でも大抵何らかの記述があります。それが規格改正で、より詳細かつ具体的になり、要求事項の意図が明確になったということでしょう。

また、規格改正の狙いとしては、現在は表面的な適合性を重視する風潮がありますが、その風潮に終止符を打ち、有効性に主眼を置くことです。言い換えれば組織の自主性を尊重する姿勢が、規格に色濃く反映されていると言えます。改正規格では、文書化要求事項、リスクアセスメント上の要求事項の記述が減っています。これを「表面的な適合性重視」の立場で解釈すれば、「改正規格はハードルが低く簡単になった」となるでしょう。しかし実際はその逆であり、認証審査においても、「形式的に文書さえ作ってあればOK」という訳にはいかなくなるでしょう。

 

@4 組織の状況

<要求事項の主旨>

 新規に追加となった要求事項です。組織の内部環境、外部環境の把握、利害関係者のニーズ・期待の把握が要求されています。それらを前提に、マネジメントシステムの適用範囲が決定されていること、さらには当該マネジメントの方針や目的も組織の状況を前提とする組織の目的と整合していることが要求されています。

<対応の考え方>

 意図的にリスクの低い部分に限定したもの、主要業務が除外され業務実体がほとんどないものなどがあれば、見直すべきでしょう。

 

A6.1.2 情報セキュリティリスクアセスメント

<要求事項の主旨>

 これまでもISMS規格にあったリスクアセスメントと、基本的な主旨は同様であると考えられます。ただし、他のマネジメントシステムとの共通化の結果、ISMS規格のリスクに関する記述の分量が大幅に減っています。その代わりに、ISO31000に基づくリスクマネジメントを基礎とするようになりました。

<対応の考え方>

 規格要求事項がシンプルになったことは、リスクアセスメントを有効なものにするための良い機会であると思います。これまでは、規格の詳細な要求事項に基づく複雑なテンプレートやガイドが流布し、リスクアセスメントが体裁だけ整っているものの、有効に機能していないという例が多数見られました。その意味では、この機会にリスクアセスメントをシンプルかつ有効に見直すべきでしょう。

一方、これまでのリスクアセスメント方式では、改正規格に対し不適合になるかというと、そうではありません。そもそも改正規格がリスク概念の基礎とするISO31000は、要求事項ではなくガイドラインです。また、これまでの方式であっても、ISO31000の規格の主旨に反することはないと思われます。したがって、これまでのリスクアセスメント方式を改善して有効性を高めていくというのも1つの方法ではあります。

 

B6.1.3 情報セキュリティリスク対応

<要求事項の主旨>

これまでの規格では、「管理目的及び管理策は、リスクアセスメント及びリスク対応のプロセスにおいて特定した要求事項を満たすために選択し、導入しなければならない。・・・・・・・・このプロセスの一部として、附属書Aの中から特定した要求事項を満たすために適切なように、管理目的及び管理策を選択しなければならない。」となっています。これに対し、改正規格では、「選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。・・・・・・・決定した管理策を附属書Aに示す管理策と比較し、必要な管理策が見落とされていないことを検証する。」と変わっています。これまでの規格では管理策は附属書Aから選択するものだったのが、改正規格では、管理策は(自ら考えて)決定し、それを見落としが無いかの意味で、附属書Aと比較検証することに変わりました。リスクは、組織や業界、地域や国等によって固有なものがあり、必ずしも附属書Aの管理策では網羅しきれていません。したがって組織はリスクに対して適切な管理策を、附属書Aに拘らずに主体的に考え出す、あるいは附属書A以外の管理策集から持ってくるということです。その結果、リスクアセスメント結果と管理策の整合性がより強く求められるということになります。

<対応の考え方>

リスクアセスメントの体裁はともかく、リスクアセスメント結果と管理策が整合しているかが重要です。また組織固有のリスクに対し、管理策が決定され、適用宣言書に反映されているかもポイントとなってきます。

 

C6.2 情報セキュリティ目的及びそれを達成するための計画策定

<要求事項の主旨>

 品質マネジメントシステム、環境マネジメントシステムと同様の、測定可能な目的(目標)の設定とその達成管理が要求されています。

<対応の考え方>

 品質マネジメントシステム、環境マネジメントシステム同様に、目的(目標)の管理が行なわれているということです。

 

D9.1 監視、測定、分析及び評価

<要求事項の主旨>

 これまでの規格の「ISMSの有効性のレビュー」や「管理策の有効性測定」に相当する要求事項です。「パフォーマンス評価」というより大きな概念の下に位置付けられています。また、情報セキュリティ目的の達成を裏付けるための活動とも言えます。

<対応の考え方>

情報セキュリティ方針、目的のために必要なKPI(キー・パフォーマンス・インディケータ)を設定し、監視、管理し、PDCAを回し、目的達成に結びつけることが重要です。管理策全てを測定しなければならないというような形式的な要求事項ではありません。

 


[4] ISO27001改正の動向 2012年10月

2012年10月下旬に行われたISO SC27のローマ会議で、CD3(委員会草案第3版)からDIS(国際規格草案)に進むことが決定しました。これにより今後のISO27001発行までの期間は早まると思われ、おそらく2013年には、FDIS(最終国際規格草案)、さらにはIS(国際規格)が発行されるものと思われます。

リスクアセスメント/リスク対応は、箇条6(計画)に置くか、箇条8(運用)に置くかの議論がありましたが、CD3のままの箇条6に置かれることが決まりました。これは日本の主張とも一致し、結果としては妥当であると評価できます。議論の背景としては、各MS固有の要求事項はすべて箇条8に入れ、箇条6は全MS共通の内容とすべきとの意見が根強くあったためです。そのため既に発行されたISO22301(事業継続マネジメントシステム)では、BIA、RAといった事業継続のための分析は、箇条8に置かれています。

[3] ISO27001改正の動向 2012年5月

2012年5月に行われたISO SC27ストックホルム会議で、ISO27001は、CD2からCD3に進むことが決まりました。主な論点としては、以下の通りです。

@リスクアセスメント/リスク対応の記述は、箇条8から箇条6に移されました。

ACD2では、「文書化された情報(Documented Information)」の1つとされており、固有の名称が付けられていなかった「適用宣言書」の名称が用いられることになりました。

[2] ISO27001改正の動向 2011年

改訂作業中のISO27001では以下のような改訂のポイントがあります。

 

大前提としては、全てのマネジメントシステム規格共通の改訂のポイントである@HLSの採用A共通テキストの採用BISO31000のリスク概念の導入があります。

 

それに加え、ISO27001固有の改訂ポイントとしては、以下のものが現在のCD2ではあがっています。(これはまだ今後変わっていく可能性がありますが)

 

@今ある"ISMS policy”と"information security policy"の2つの方針は1つになり、"information security policy"のみとなっています。

A"適用宣言書"という言葉はなくなっています。ただし同様の概念は残っています。

Bリスクアセスメントについては、今のような詳細な記述はなくなっており、自由度の高いものになっています。また、、”機密性”、”完全性”、”可用性”という言葉は残っているものの、"資産”、”脅威”、”脆弱性”はなくなっています。

 

[1] ISO27001規格改正の概要 2011年

ISO27001規格は、2011年にCD2が出されています。早ければ2013年にIS発行となると思われます。

今後、全てのISOマネジメントシステム規格は、ISOガイド83(※1:現在は、ISO/IEC Directives(専門業務用指針)Supplement(補足指針)Annex(附属書) SLとなっています)にしたがって開発されることになっています。

現在のISO27001改訂も、これにしたがって開発されています。

従来のマネジメントシステム規格とISOガイド83(※1参照)にしたがったマネジメントシステム規格の主な違いは以下の3点です。

@HLS(High Level Structure)といわれる規格構造を採用している

HLSとは、次のような規格の章立てのことです。

1.適用範囲

2.引用規格

3.用語及び定義

4.組織の状況

5.リーダーシップ

6.計画

7.支援

8.運用

9.パフォーマンス評価

10.改善

A各規格の共通部分の記述は、基本的にCommon Textを採用する

Common Textは、次のような位置づけとなります。
● MS規格は、原則的には、Common Textを適用する

● 1〜10 の規格項目の順番は変更できない

● 各MS規格によって1〜10 の規格項目より下位の細分項目の順番は変更することができる

● 各細分項目において、Common Textの意図を変更しない限りでの記述の追加や細分項目の追加などができる

BISO31000に基づくリスクの概念が導入される

原則的にすべてのマネジメントシステムにリスクの概念が導入され、それはISO31000リスクマネジメント規格の概念が基本となります。

 

このISOガイド83(※1参照)の適用により、ISO27001を含め、新しいマネジメントシステム規格は、規格の構造や内容の共通化が進みますので、マネジメントシステムの統合化はやりやすくなります。

また、ISO27001はこの改訂で、かなり大幅な規格の変更となると思われます。

現在のCD2を見ても、かなりの変更であり、ISO9001でいえば1994年版から2000年版への変更と同程度の変更規模となると思われます。