2013年中の改訂版発行を目指して、ISO/IEC 27001の改訂作業が進められています。 今回の改訂は、ISO マネジメントシステムの共通化テキストを採用した大幅な改訂になる予定で、2013年7月3日には、FDIS(最終国際規格案)が発行され、改訂版の発行に向けた最終段階に差し掛かっています。
今回の改訂では、規格の要求事項本文も大幅に変更されますが、ここでは、FDIS(国際規格最終原案)の情報を基にISMS規格の特徴となっている附属書Aの管理策の構成を見てみましょう。 現在の2005年版規格では、11の分野133の管理策が規定されていますが、2013年版で重複した感のあった管理策や、詳細すぎると思われる管理策は整理され、14の分野で114の管理策に整理されています。
| ISO/IEC 27001:2005 附属書Aの構成 | ISO/IEC 27001:2013 附属書Aの構成 |
|---|---|
| A.5 セキュリティ基本方針 | A.5 セキュリティ方針 |
| A.6 情報セキュリティのための組織 | A.6 情報セキュリティのための組織(A.15 供給者管理) |
| A.7 資産の管理 | A.8 資産の管理 |
| A.8 人的資源のセキュリティ | A.7 人的資源のセキュリティ(A.15 供給者管理) |
| A.9 物理的及び環境的セキュリティ | A.11 物理的及び環境的セキュリティ |
| A.10 通信及び運用管理 | A.12 運用管理A.13 通信のセキュリティ(A.15 供給者管理) |
| A.11 アクセス制御 | A.9. アクセス制御 |
| A.12 情報システムの取得、開発及び保守 | A.14 システムの取得、開発及び保守A.10 暗号 |
| A.13 情報セキュリティインシデントの管理 | A.16 情報セキュリティインシデントの管理 |
| A.14 事業継続管理 | A.17 事業継続管理の情報セキュリティの側面 |
| A.15 コンプライアンス | A.18. 順守 |
数の上では3つの分野が追加されたようにも見えますが、実際には、分類が見直されたことによるもので、2005年版で“通信及び運用管理”のための管理策として整理されていたものが、“通信”と“運用”それぞれの分野に分けられた他、“暗号”、“供給者管理”の分野における管理策が追加されていますが、“暗号化の管理策”は、“情報システムの取得、開発及び保守”の中で一部取り上げられていましたし、供給者管理は、“A.6 情報セキュリティのための組織”、“A.7 人的資源のセキュリティ”、“A.10 通信及び運用管理”等、複数の分野で分散していた管理策を供給者管理として整理したものになっています。 既に認証を取得している組織にとっては、管理策の増減は、気になるところかもしれませんが、管理策の変変更によって、2013年版への移行において大きく問題が発生することは無さそうです。
改訂によって、管理目的及び管理策はより明確になっているように思われますので、自社において、“適用した管理策が、その管理目的に対して適切か?” という観点で見直しをする必要があるかもしれません。 情報セキュリティマネジメントシステムの改善のための診断を実施してみると、「適用宣言書」のために本来の目的と違う部分で管理策を適用している事例が少なくありません。 2013年版への移行においては、管理目的及び管理策の内容そのものよりもむしろ、情報セキュリティリスク対応の考え方が明確に表現されたことに注意が必要と思われます。 FDISの段階では、情報セキュリティリスク対応の基本的な取り組みは、
| リスクアセスメントの結果を考慮して、リスク対応の選択肢を選定 |
| ↓ |
| 選定したリスク対応の選択肢の実施に必要な全ての管理策を決定 |
| ↓ |
| 上記で決定した管理策と附属書Aの管理策とを比較し、必要な管理策が見落とされていないことを検証する。 |
結果として、規格への適合性を示す手順に大きな変化はないかもしれませんが、 この改訂を契機に、リスク、及びリスク対応へのアプローチをどれだけ修正できるか? が、その後の組織のISMSの有効性に大きく影響を与えるように思われます。