寄稿:ISO/IEC 27001のJIS化にともなう動きについて

<はじめに>

みなさん、はじめまして。(財)日本科学技術連盟(通称;日科技連)の中西と申します。とあるきっかけで、約3年前に5Sアジア事務局長にデミング賞のお話をさせていただいて以来の関係で5Sアジアさんとはいろいろ情報交換をさせていただいております。日科技連は、品質管理の啓蒙普及する活動の他、デミング賞の事務局としても活動しております。デミング賞といえば、2003年に5Sアジアのホームページにご推薦のお言葉を載せられています、吉澤正先生がデミング賞本賞を受賞されております。という経緯で今回は5Sアジアのメルマガのスペースを頂戴し、寄稿させていただくこととなりました。 

ISO/IEC 27001JIS化>

個人情報保護法の制定や、政府各省から情報セキュリティのガイドラインが出される中、皆さんの会社でも重要情報を保護する意識と仕組みを作られているところが多いかと思います。これも情報における5Sの一部(整理・整頓)ともいえることでしょう。先日、訪問させていただいた会社でもISMSを認証取得されて、オフィスも見違えるくらい整理されてきれいさっぱりしました、とおっしゃっておりました。情報セキュリティといえば、ご存知のとおり、ISO/IEC 27001:2005が昨年1015日に発行されました。これまではISMS認証基準(Ver.2.0)による審査をしていましたが、JIS化されれば、その規格発行にともなう移行審査を行うこととJIPDECから通達があり、今か今かと待ちかねていました。ようやく、今年520日に、ISO/IEC 27001, ISO/IEC 17799の翻訳規格であるJIS Q 27001:2006(情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項)が制定されました。この国内規格の制定によって、更なる顧客情報の紛失、システムダウンなどの情報セキュリティのトラブルを防止するため、国内の組織における更なる情報セキュリティマネジメントシステムの導入、実施、維持及び改善が期待されることと思います。 

ISMS認証基準(Ver.2.0)JIS Q 27001:2006との差分>

さて、ISMS認証基準(Ver.2.0)ISO/IEC 27001:2005の差分(違い)については、各コンサルタント会社、各機関からいろいろとお話を聞いている方もいらっしゃるかと思いますが、先日JIS化されて、いくつかISO/IEC 27001:2005と違いが見られましたので、ご紹介したいと思います。要求事項と管理策にいくつの違いが見られました。翻訳版が大きく誤っていることはないので、大きな変更はありませんが、ISO ISO/IEC 27001:2005では、「資産の保有者」という語句を使用していましたが、JIS Q 27001:2006では「管理責任者」という語句を使用しています。やはり、後者のほうがなじみがあるように感じます。また、要求事項4.2.1g)4.2.3g)、および管理策A.6.2.2 A.8.3.3 A.10.2.3 A.10.2.3などをみると、多少なりとも表現が細かく記載してありますので、構築・運用の方向性が決めやすいように感じます。 

1.要求事項の差分

  項番              ISMS認証基準

ISO/IEC 27001:2005

JIS Q 27001:2006

 

(1)4.2.1e)3)      リスクの度合い   

→リスクの水準

→リスクのレベル

(2)4.2.1g)    選択については、リスクアセスメント及びリスク対応プロセスの結果に  基づいてその妥当性を示すこと。

→リスクを受容するための基準、法律、規制及び契約上の要求事項を考慮すること。

→管理策の選択には、法令、規制、及び契約上の要求事項と同じく、リスク需要水準も考慮する。

(3)4.2.3a)5)   セキュリティ違反を解決するためにとるべき処置を、事業上の優先順位    を踏まえて決定すること。

→とった処置の有効性の判断

→違反の解決をするためにとった処置が有効であるかどうか判断する。

(4)4.2.3g)      (追加)

→監視及び見直しの活動で検出された事項を考慮に入れるために、セキュリティ計画を更新

→監視及びレビューの活動から見出された事項を考慮に入れるために、セキュリティ計画を更新。 

2.管理策の差分

(1)A.6.2.2      (新規)

→顧客による組織の情報、資産へのアクセスに関する対処

→顧客に組織の情報、資産へのアクセスを許す前に明確にしたセキュリティ要求事項への対処

(2)A.7.1.2      (新規)

→資産の保有者

→資産の管理責任者

(3)A.8.3.3      (新規)

→雇用終了時のアクセス権の削除、変更修正

→雇用・契約・合意の終了時に、アクセス権の削除、変更の修正

(4)A.10.2.3    (新規)

→監視、レビュー、定期的な監査の実施

→サービス・報告・記録の監視、レビュー。定期的な監査の実施。

(5)A.10.2.3    (新規)

→関連業務等の重要性を考慮してサービス提供の変更を管理

→関連する業務システム等の重要性を考慮して・・・

 

JIS Q 27001:2006規格への移行>

すでに、ISMS認証基準(Ver.2.0)を認証取得されている組織は、継続して人称得するためには、JIS Q 27001:2006規格への移行審査を実施しなければなりません。それに関して、JIPDECからは下記のようにJIS化にともなう移行審査についての通達が各審査機関に届いております。

@ISMS認証基準(Ver.2.0)による初回審査(新規の認証)は、JIS Q 27001:2006の規格発行後6ヶ月以内に登録完了すること。また、規格発行後6ヶ月経過時点から1年以内に、維持審査(サーベイランス)を実施するとともに、JIS Q 27001:2006への移行のための差分審査を実施することが望ましい。

AISMS認証基準(Ver.2.0)で認証登録されている組織に対しては、JIS Q 27001:2006の発行後の維持審査(サーベイランス)及び更新審査において、JIS Q 27001:2006への移行のための差分審査を含むことが望ましい。

当初は、JIS化の予定は、20064月でしたが、1ヶ月ずれたので、移行完了も1ヶ月ずれて、20071120日までに移行審査を行い、登録完了すれば問題ありません。(図1.参照)

 

 

 

 

 

 

 

 

 

 

 

  

図1.JIPDEC通達による移行審査スケジュール 

それでは、具体的にどのように移行完了すればよいかということですが、私どもの機関を例に挙げてご説明します。まず、JIS Q 27001:2006移行のための差分に関する、規格要求事項を組織で決定し、構築を行い、約3ヶ月の運用を行った上で、サーベイランスや更新審査時に移行審査をしていただくことになります。移行審査は、万が一の是正処置期間を考慮して9月上旬までに行っていただければ、是正回答後、判定会議にはかり、登録がスムーズにできます。

 

 

 

 

 

 

 

 

 

 

 

 
 

<その他(FAQ)>

最後になりますが、その他、これまで私どもにお問合せいただいた中で、代表的な質問をご紹介いたしますので、ISMSに取り組んでいらっしゃる皆さん、ぜひご参考いただければ幸いです。

1.新規格に適合したISMSでの運用実施の期間(ミニマム)はどの程度必要でしょうか?

 →3ヶ月程度、内部監査、MRの実施

2.JIS Q 27001適用した、ISMS文書の提出時期は、何時頃になりますか?

 →実地審査の1ヶ月前程度

3.JIS Q 27001適用した、ISMS文書はどこまでの文書を提出するのですか?

 →規格要求の48が説明できるマニュアル、適用宣言書 

4.管理策の有効性の測定方法は?

 →規格の解説5.2.3参照

5.JABが認定機関に名乗りを上げていますが組織への影響かありますか?

 →受審組織への影響は少ない

6.ISO20000JIPDECが認定を始めようとしていますがJUSEの対応は?

 →JUSEも対応する(認証機関)方向で検討中

7.悪意あるコードとモバイルコードの違いは?

 →JISQ27002:2006(ISO/IEC17799:2005)10.4項。

・悪意のあるコード:ウイルス、ネットワクワーム、トロイの木馬、ロジック爆弾、スパイウェア

・モバイルコード:ネットワークを通じてダウンロードされ、自動的に実行されるプログラムの総称。WebからのActiveXコントロール、メール添付のVBScriptなど(IT用語辞典)   

※なお、以上についてのご質問は日科技連のホームページ( http://www.juse.or.jp/ )を通じて遠慮なくお問合せください。

企業インタビューTOPに戻る