ISMS規格改訂でよく出る指摘
2013年10月の発表から約2年の移行期間を経て、2015年10月よりISMSの規格が「ISO/IEC27001:2005(JIS Q 27001:2006)」から「ISO/IEC27001:2013(JIS Q 27001:2014)」にアップデートされました。ここでは改定のポイントや変更後の注意点を整理してみましょう。
改定前と改定後を比較
「ISO/IEC27001:2005(JIS Q 27001:2006)」と「ISO/IEC27001:2013(JIS Q 27001:2014)」の箇条を比較すると次のようになります。
JIS Q 27001:2006
- 0 序文
- 1 適用範囲
- 2 引用規格
- 3 用語及び定義
- 4 組織の状況
- 5 リーダーシップ
- 6 計画
- 7 支援
- 8 運用
- 9 パフォーマンス評価
- 10 改善
- 附属書A(規定)管理目的及び管理策
- 参考文献
JIS Q 27001:2014
- 0 序文
- 1 適用範囲
- 2 引用規格
- 3 用語及び定義
- 4 情報セキュリティマネジメントシステム
- 5 経営陣の責任
- 6 ISMS内部審査
- 7 ISMSのマネジメントレビュー
- 8 ISMSの改善
- 附属書A(規定)管理目的及び管理策
- 附属書B(参考)OECD原則及びこの規格
- 附属書C(参考)規格の比較
- 参考文献
改定のポイント
MSSの適用
JIS Q 27001:2014では、ISOマネジメントシステム規格が増加したことにより、マネジメントシステム規格(MSS)間の整合化が求められたことから、新たな規格が提案され、改定後はすべてのMSSにその提案を適用することになりました。
そのうえで、ISMSに固有の要求事項が新たに規定されています。組織のISMS体制の内容そのものを大きく変える必要はありませんが、「附属書SL(規定)」に規定されているMSS共通要素を確認し、文書内に記載している企画内容がこれと適合するよう、見直しが必要とされます。
適用範囲
JIS Q 27001:2014のISMSの適応範囲の決定事項では、「その境界及び適用可能性を決定し、適応範囲を決定するとき、外部及び外部の課題、利害関係者のニーズ及び要求事項、インターフェース及び依存関係を考慮しなければならない」としています。
これによって改定後は、これまでよりも広く、組織外部のさまざまな要因を検討したうえで、ISMSの適用範囲及び境界を定めることが求められるようになりました。
より広い視点での情報リスク対応
変更点の多くは外部・内部のより広い視点でのリスク管理が求められる内容となっているとともに、組織幹部による経営的な視点での見直しを求める内容になっています。
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】
ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。
「まず取得したい」
なら
- 専任不要&月額3.3万円の低コスト
情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。 - 中小企業向けフルアウトソーシング支援
書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。 - 維持運用しやすい実務重視の設計
最小限の設計で、取得後も1名体制で継続しやすい。
柔軟に対応
してほしいなら
-
現役審査員が直接サポート&訪問無制限
複雑な多拠点対応も、現場に即した導入設計が可能。 -
業種特化・6か月以内の取得も相談可
業界特有の運用にも対応し、スピード重視の企業にもおすすめ。 -
ISO事務局も代行し全工程を一括支援
社内対応の手間を減らし、効率・品質を向上。
運用負担を削減
したいなら
-
書類作成の負担が少ない
提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。 -
取得時も取得後も運用の負担が少ない
負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。 -
取得後は自社で維持、運用が可能
必要最小限な運用が可能なため、自社だけでも準備が容易。