ISO/IEC 27001の改訂動向と最新ドラフトの概説【情報セキュリティニュース 2013年 第2号】
2013.7.1
1. はじめに:ISO/IEC 27001の審議動向
情報セキュリティマネジメントシステムに関する国際規格であるISO/IEC 27001(以下「ISO 27001」という)は、2005年に発行され、今年で発行から8年になる。ISO規格は通常5年ごとに定期見直しが行われることとなっており、2005年に策定されたISO 27001も2009年より改訂審議が始まった。その後様々な審議を経て、現在はFDIS(Final Draft of International Standard:最終ドラフト)の段階まで到達し、順調にいけば2013年秋から冬頃に改訂版としてリリースされることが予定されている。
本稿では、ISO 27001の改訂に向けた理解の一助となるべく、公開ベースでの最新ドラフトであるDIS(Draft of International Standard)について概説する。
2. ISO/IEC DIS 27001改訂の概説
2005年のISO 27001発行後、マネジメントシステム規格の構造や、リスクマネジメントの考え方などが標準化されたことに伴い、ISO 27001も改訂時にそれらの影響を受けることとなった。ここでは、そうした他規格からの影響を中心にISO 27001の改訂のポイントについて概説する。
2.1. マネジメントシステム共通テキストへの準拠
マネジメントシステム共通テキストへの準拠 まず、最大のポイントとしてマネジメントシステム規格のテキスト、構造が統一されたことが挙げられる。マネジメントシステム規格は、ISO 9001をはじめとして既に数多く発行され、これらを適用している組織も全世界的に非常に多い。中にはISO 9001、ISO 14001のように数万組織が適用する規格も存在する。
ほぼすべてのマネジメントシステム規格は、PDCAサイクル1に基づいており、P・C・Aの部分には共通要素が多い。しかし、これまでは共通要素が多いものの文書構成が統一されておらず、同じ内容・要件が規格によって違う場所に書かれていたり、用語の定義が異なっていたりするなど、複数のマネジメントシステムを調和、統合して運用することが難しい状況となっていた。
そのような状況の中で、ISO規格を策定している国際標準化機構は、規格間の整合性向上を図り組織の負担を軽減するため、5年余りの歳月をかけてマネジメントシステム規格における共通テキストを開発2した。2012年以降、新規に開発・改訂される全てのマネジメントシステム規格には共通テキストの適用を義務づけることとなった。
マネジメントシステム共通テキストがISO 27001に与える影響として、次の3点が挙げられる
レポートを全て見る
