ISO/IEC 27001:2013年版 改訂動向 - 要求事項編 -
ISO 27001規格の本文は、今回の改訂によってどのように変わったのでしょうか? 今回の改訂には、いくつかの目的がありましたが、その中には、次のようなものも含まれています。
- リスクアセスメントのアプローチをISO31000に整合させる。
- マネジメントシステム規格の共通テキストの構成に合わせる。
ISO 31000は、2009年に発行された“リスクマネジメントの原則及び指針”を規定した規格です。2005年のISO/IEC 27001より後に発行された規格ですが、組織の事業活動に関連する、より広範なリスクを取り扱うリスクマネジメントの規格となっています。 このリスクマネジメントの考え方は、マネジメントシステム規格(MSS)の共通テキストにも大きく影響を与えています。 ISO/IEC 27001:2005では、次の図に2005年版として示すモデルに基づいたリスクアセスメントプロセスが構成されていましたが、今回の改訂では、ISO 31000に示されるモデルに沿ったリスクマネジメントプロセスに変更されています。