本日読了。
ISO27001(ISMS)について、2022年10月改訂を踏まえつつ解説。
- 先行して改訂されたISO27002との整合のため附属書Aの管理策が大きく改訂された。なお、管理策は目的やリソースなどをもとに選択できる(採用しない理由の明確化は必要)。
- 要求事項としては、ISO9001などにも適用済の変更計画の明確化、マネジメントレビューのインプットとして利害関係者(株主やオーナー、規制当局、顧客、サプライヤー、委託先、従業員)のニーズおよび期待の変化の明確化、が追加された。
- 発行月末から36か月(2025年10月末)までに、認証を改訂版対応に移行する必要がある。
ISMSの特徴として、要求事項とは別にベストプラクティスである管理策が記述されている。ただし、情報セキュリティ方針をもとに必要な管理策を選択でき、必須ではない。
ISMSの構築・導入ステップ。
- ISMSの体制の確立(管理責任者・推進チームと、内部監査責任者・内部監査チーム)
- ISMS適用範囲の定義
- 情報セキュリティ方針の確立
- 情報セキュリティリスクアセスメント(リスク特定(業務プロセスの整理と情報資産の特定、脅威の特定、脆弱性と影響の特定)、リスク分析(影響の度合い、発生の可能性、脆弱性)、リスク評価(リスクレベル=(脅威の影響度+脅威の発生可能性)✖️脆弱性のレベル))およびリスク対応(リスク低減・リスク受容・リスク除去・リスク移転といったリスク対応方針、適用宣言書(必要な管理策の選択と理由、現在の実施状況、附随書Aの管理策の中で適用除外としたものと理由)、対応計画の策定と実施)の作成の実施
- ISMS文書の作成(基本方針、基本規程、管理規程、様式、記録)
- ISMS導入教育
内部監査とマネジメントレビュー
- 内部監査責任者は管理側を牽制できること
- 内部監査チームは独立性を保つこと(現業メンバーでチームを組むことは可能)
- マネジメントレビューのインプット。前回までの処置、ISMSに関する外部内部の環境変化、ISMSに関する利害関係者のニーズ及び期待の変化、パフォーマンス状況、利害関係者からのフィードバック、リスクアセスメントの結果およびリスク対応計画の状況、継続的改善の機会。
- マネジメントレビューのアウトプット。ISMSに関するあらゆる変更の必要性に関する決定。
認証審査を受ける。
- 初回審査。第1段階審査(文書とトップや推進者のインタビュー審査)〜(1〜3か月)〜第2段階審査(部門インタビューとエビデンス審査)
- 維持審査。年1回。実行が問題無く継続しているかを見る。
- 更新審査。3年ごと。マネジメントシステム自体の有効性を見る。
