eBC20

ISO化された情報セキュリティマネジメントシステム(ISO27001)

 国際的な情報セキュリティマネジメントシステムとして、 2005年10月15日に、 英国規格である BS7799−2:2002に変更が加えられ、 ISO/IEC27001:2005として発行 されました。
  従来、日本国内では、BS7799-2:2002(認定はUKAS等)の認証を取得している企業と ISMS(認定はJIPDIC((財)日本情報処理開発協会))の認証を取得している企業がありますが、今後は、国際的に通用するISO27001の認証を取得する企業が増えてくると想定されます。
  従って、BS7799との主な変更点などISO27001への移行に必要な情報を紹介します。

    注1)UKAS:英国認定機関
    注2)ISMS:Information Security Management System 情報セキュリティマネジメントシステム


1、「BS7799-2:2002」から「ISO27001:2005」への主な変更点

    大きな変更点は無く、いわゆるマイナーチェンジです。

《 1 》本文の主な変更点

 ア、章構成等変更

  旧「6 ISMSのマネジメントレビュー」内の「6.4 内部監査」が独立した章として、「6 内部監査」に変更となり、これに伴い、旧「6 マネジメントレビュー」が7章に、旧「7 ISMSの改善」が8章に繰り越された。

 イ、内容変更

  1. 「4.2.3 ISMSの監視及び見直し」で、管理策の有効性測定項目が追加
    c)セキュリティ要求事項が満たされていることを検証するために、管理策の有効性を測定する。
  2. 「4.2.3 ISMSの監視及び見直し」で、セキュリティ計画更新項目が追加
    g)監視及び見直しの活動で検出された事項を踏まえて、セキュリティ計画を更新する。
  3. 「4.3 文書化に関する要求事項」で、リスクアセスメントの方法の文書化項目が追加
      4.3.1 一般
      ISMS文書には、次の事項を含めること。
    d)リスクアセスメントの方法(methodology)についての説明
         (4.2.1 c)参照)
  4. 「5.1 経営陣のコミットメント」で、経営陣の責任に内部監査実施項目が追加
    経営陣は、ISMSの確立、導入、運用、監視、見直し、維持及び改善に対するコミットメントの証拠を、次の事項によって示すこと
    g)ISMSの内部監査が実施されていることを確実にする(6参照)
  5. 「7 ISMSのマネジメントレビュー」で、インプットに有効性の測定結果
       項目が追加
      7.2マネジメントレビューへのインプット
      マネジメントレビューへのインプットには次の事項を含めること
    f)有効性の測定結果

 

《 2 》付属書の主な変更点

 ア、章構成等変更

   旧「付属書B 規格利用のための手引き」が削除され、ISO27003になります。

 イ、「付属書A 管理目的及び管理策」の内容変更

     管理目的及び管理策の項目及び内容が追加・変更・削除されました。

  1. 「13 情報セキュリティ事件・事故管理」が分類追加となり、10分類が11分類となった。
  2. 管理目的が36項目から39項目になった。
       ・管理目的を追加( 8項目)
       ・管理目的を再編集( 5項目)
  3. 管理策が127項目から133項目になった。
       ・管理策を追加(17項目)
       ・管理策の削除・再編集(9項目)

  なお、管理目的及び管理策の詳細な変更内容は、実際の規格を参照願います。

2、ISO27001:2005への移行(UKAS認証企業)

   UKASは、2005年12月に移行指針を発表しました。
    移行指針によると、ISO27001:2005への移行は、次のように考えられます。

《 1 》移行期間等

  ISO27001:2005の発効日から18か月の移行期間等があります。

  1. 準備期間:発行から6か月間(2006年4月14日まで)
  2. 移行期間:準備期間終了後12か月間(2007年4月14日まで)

 従って、BS7799-2:2002の認証企業がISO27001:2005へ移行するには、移行期間 が終了するまでに、移行のための審査を受けて移行することが必要です。
  (移行期間終了までに移行しないと、旧BS7799-2:2002認証の効力は無くなります。)
  なお、新規に認証取得する企業は、準備期間中は、BS7799-2-2002とISO27001:2005 のいずれかを選択できますが、移行期間中はISO27001:2005での審査となります。

《 2 》移行のための審査

 移行のための審査は、個別の移行審査を受審しても良いですが、継続審査 (サーベランス審査)や更新審査に合わせて実施可能とするよう検討しているので、その方が効率的です。
  審査工数は、審査機関や受審企業により異なりますが、マイナーチェンジの ため、通常の継続審査や更新審査からの増工数は、少ないと考えられます。
   (移行審査ための工数増は、1〜3割程度と想定)

《 3 》移行のための準備

 個人的な考えですが、移行準備に必要な稼動や期間は、それほど多くないと考えています。
現時点で想定している移行準備作業は、次のとおりです。

 ア、本文変更の対応

  情報セキュリティ(ISO27001)は、品質(ISO9000)や環境(ISO14000) などと同様に、PDCAサイクルを回すことが基本のマネジメントシステムです。
  (PDCA:Plan(計画)、Do(実施)、Check(チェック)、Action(アクション))

  今回の本文変更は、C、A部分の強化が主体ですが、BS7799-2:2002の認証取得
  企業は、当然、「管理策の有効性を測定」しており、「その測定結果でマネジメントレビューを実施」しており、「マネジメントレビューの結果を踏まえて セキュリティ計画を更新」しています。
  また、BS7799の認証取得企業は必ずリスクアセスメントを実施しているので、既に、リスクアセスメント手順を作成済みだと思われます。
 従って、前1、(1)イ項で記載した規格本文の変更部分は、既に実施している と思われます。
   (リスクアセスメント方法が文書化されていない企業は、必要な文書(手順)の制改定作業が必要)

 イ、付属書Aの変更対応

付属書Aの管理目的及び管理策変更に伴う対応準備は、少し、稼動と期間を要します。

  1.   リスクアセスメント結果に基づき、対応すべきリスクに対し、付属書A(ガイドラインは、ISO17799:2005)から管理目的及び管理策を選択し、適用宣言書を改定して経営者の承認を取っておく必要があります。
     管理策名が同じでも、他の課アンリ作と統合されたり、内容が変更に なっているものがあるので、採否決定や採否理由の検討時に注意を要します。
  2. 改定した新しい適用宣言書に基づき、追加・変更・削除された管理策に 対応して、関連手順や記録様式等の制改定を実施します。
  3. 新しい管理策を実施するために、新しい「しかけ」や「ツール」が必要となる場合は、それらを準備する必要がありますが、今回の変更では、その必要はほとんど無いと考えられます。

 ウ、関連する人々への変更点の教育・訓練

     ISMSを実施するのは人間です。
     移行に伴う変更点を、社員などの関連する人々に研修や連絡をしておく 必要があります。
     (参考:管理策 A8.2.2 情報セキュリティの意識向上、教育及び訓練)

3、おわりに

 ISO27001への移行に関する情報について述べてきましたが、審査機関により、若干対応が異なる場合も考えられるため、審査の詳細については、当該審査機関との調整 が必要です。
 今回のBS7799のISO化に伴い、情報セキュリティも品質や環境と同様に、他のISO等 との統合審査が可能になることを期待していましたが、統合審査までには、もう少し、 時間がかかるようです。