2013年度 No.4「ISO/IEC 27001 2013年版改訂のポイントと企業への影響」
2014.1.1
情報セキュリティマネジメントシステムに関する国際規格「ISO/IEC 27001:2013」が、ISO(国際標準化機構)とIEC(国際電気標準会議)の合同技術委員会 JTC 1で投票にかけられ、2013年 9月に承認された。同規格が2005年に発行されて以来、8年ぶりの改訂となる。本稿では本改訂のポイントとそれによる組織への影響と対策について説明する。
ISO/IEC 27001は、その前身である英国規格のBS 7799-2をベースとして2005年に発行された。ISO規格は通常5年ごとに定期見直しが行われることとなっており、ISO/IEC 27001:2005も2009年より改訂審議が始まった。その後様々な審議を経て、発行から8年になった2013年に、いよいよ改訂に至ったところである。
日本では、2002年にBS7799-2に基づいたISMS第三者認証制度が開始され、2006年にISO/IEC 27001:2005ベースに移行、認証制度開始から11年が経過した2013年には、4420の組織が認証を取得している(2013年12月18日現在)。
1. ISO/IEC 27001改訂のポイント
2005年のISO/IEC 27001:2005発行後、多くの関連規格の発行やクラウド活用の隆盛など、情報セキュリティマネジメントを取り巻く状況そのものが変化したこと、またマネジメントシステム規格の構造や、リスクマネジメントの考え方などがISO内での議論によって標準化されたことに伴い、ISO/IEC 27001も改訂時にそれらの影響を受けることとなった。ここでは、そうした他規格からの影響を中心にISO/IEC 27001の改訂のポイントについて解説する。
レポートを全て見る
