公開:

ISO27001の改訂について

ISO27001の最新版が2013年10月に発行され、改訂対応に四苦八苦されている企業も多いことと思います。

このコラムでは少し私見を交えながら、改訂された規格の特徴的な部分について、その趣旨や対応方針などを考察してみたいと思います。

1.「6.2 情報セキュリティ目的及びそれを達成するための計画策定」

現在ISO9001やISO14001などには「品質目標」「環境目標」といった形で存在する要求事項ですが、こうした「目標を立てて、達成に向けて進捗管理を行う」という考え方は情報セキュリティにはそぐわない、と考えられていたのか(私もそう思っていましたが)、旧ISO27001:2005にはこの要求事項はありませんでした。(厳密にはありましたが、「達成期限を設け」たり、「結果の評価」を行うことまでは、求められていませんでした。)

各社の担当者の方は頭をひねりながら色々な「情報セキュリティ目標」を立てていますが、「どのように考えれば良いのか?」とお問合せ頂くことも少なくありません。

大切なのは、目標管理を形骸化させない為に、例えば「従業者の悪意によるセキュリティ事故0件を目指して、全従業員にセキュリティ対策の大切さについての教育を、○月までに完了する」といった、目標達成までのプロセスを明確にすることではないかと考えています。

2.「10.1 不適合及び是正処置」

こちらも驚きです。今まで対応に苦慮される企業も多かった、「予防処置」が無くなってしまいました。

予防処置とは、「問題が起こる前に、未然防止の措置を取る」ことですので、まず「どのような問題が将来起こる可能性があるか」を検出するだけで一苦労。審査においても「まだ実施した事例がありません・・・」といった具合に、ばつの悪い顔をされるご担当者も多かったのではないでしょうか。

今回の改訂では、「このマネジメントシステムを運用すること自体が、予防処置につながる」との考え方から、予防処置の要求事項が削除されたようです。

毎年のリスク対応計画やマネジメントレビューを実施し、その後の進捗管理までしっかり行うことが、「マネジメントシステムとしての予防処置」につながるのではないでしょうか。

3.「A6.2 モバイル機器及びテレワーキング」

最後に附属書Aから、特徴的な点をひとつご紹介します。と言っても、以前から要求事項として存在していた項目についてのお話です。

旧ISO27001:2005規格では、「A11アクセス制御」という章立ての中に置かれていた、この「モバイル機器及びテレワーキング」ですが、今回の改訂により「A6情報セキュリティのための組織」という章立ての中に置かれることとなりました。

要求事項自体は変わらないのですが、置かれる章立てが変わったことで、単に「アクセス制御の観点から、モバイル機器や外出先からのアクセス等を管理しよう!」と言っていた要求事項が、「これらの活用について、組織的な観点からルールを決めよう!」というニュアンスに変わったように感じられます。

確かに旧版が制定された2005年に比べると、ノートPCを社外に持ち出している人や、そこからリモートで社内LANにアクセスする人を見かけることが随分増えたのではないかと思います。そうした世相を反映した「置き場所の改訂」ですから、是非、組織として全体的な視点から、これらの運用ポリシーを検討したいものです。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00