特集 ISOとは何か 新入社員のためのISOガイド2006
ISO27001と詳細管理策
ISO27001 ISMS要求事項
認証基準 BS7799-2:2002をベースに2005年10月発行されたシリーズの中心規格である(前述)。
ISO27000シリーズにおいてISMS要求事項を定める規格である。この規格に適合しているかどうかを登録審査機関が審査し、適合と判断されれば認証を取得し、認証登録書を得る。
ISO17799:2000がISO17799:2005に改訂された際の構成変更(7章立てから8章立てへ)が、今回の日本語版JISQ27001で反映されることになる。ISMS認証基準(Ver.2.0)とISO 27001(日本語版はJISQ27001)との比較を示す(上図)。
管理策の構成はどう変わったか
ISO17799:2000がISO17799:2005に改訂される際に要求事項が12章立てから15章立てになった点がISO27001の附属書A、に反映される(下図)。
各管理策(5-15章)の記述では3項目に分けた小見出しが付され、読みやすくなっている。
今回追加された第3章には分割して記載することが示され、例えば(1)管理策、(2)実施の手引き、(3)関連情報という形に分けられて記載される。
同じく今回追加された第4章にはリスクアセスメント及びリスク対応がまとめられ、整理されている。
第6章(情報セキュリティのための組織)、第8章(人的資源のセキュリティ)は再編され、第13章(情報セキュリティインシデントの管理) は今回追加された。
管理目的、管理策はどう変わったか
管理目的は雇用前(A.8.1)、雇用期間中(A.8.2)、雇用の終了又は変更(A.8.3)、第三者が提供するサービスの管理(A.10.2)など7個が追加され、一方、統合などで4個減り、差し引き3個増の39個になった。
管理策は新設・分割・再編により情報セキュリティに対する経営陣の責任(A.6.1.1)、顧客対応におけるセキュリティ(A.6.2.2)、アクセス権の削除(A.8.3.3)、モバイルコードに対する管理策(A.10.4.2)など17個が追加され、一方で廃止・統合・再編により11個減少し、差引き6個増えて133個になった。
■ISO27001の変更ポイント
<アイソムズ 2006年4月号掲載>
