JIS Q 27001:2014への移行に関する説明会 資料1

Similar documents
品質マニュアル(サンプル)|株式会社ハピネックス

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

ISO 9001:2015 から ISO 9001:2008 の相関表 JIS Q 9001:2015 JIS Q 9001: 適用範囲 1 適用範囲 1.1 一般 4 組織の状況 4 品質マネジメントシステム 4.1 組織及びその状況の理解 4 品質マネジメントシステム 5.6 マネジ

実地審査チェックリスト (改 0) QA-057_____

どのような便益があり得るか? より重要な ( ハイリスクの ) プロセス及びそれらのアウトプットに焦点が当たる 相互に依存するプロセスについての理解 定義及び統合が改善される プロセス及びマネジメントシステム全体の計画策定 実施 確認及び改善の体系的なマネジメント 資源の有効利用及び説明責任の強化

ISO9001:2015内部監査チェックリスト

16年度第一回JACB品質技術委員会

ISO9001:2015規格要求事項解説テキスト(サンプル) 株式会社ハピネックス提供資料

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

ISMS認証機関認定基準及び指針

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 関連する利害関係者の特定 プロセスの計画 実施 3. ISO 14001:2015への移行 EMS 適用範囲 リーダーシップ パフォーマンス その他 (

説明項目 1. 審査で注目すべき要求事項の変化点 2. 変化点に対応した審査はどうあるべきか 文書化した情報 外部 内部の課題の特定 リスク 機会 利害関係者の特定 QMS 適用範囲 3. ISO 9001:2015への移行 リーダーシップ パフォーマンス 組織の知識 その他 ( 考慮する 必要に応

AAプロセスアフローチについて_ テクノファーnews

5. 文書類に関する要求事項はどのように変わりましたか? 文書化された手順に関する特定の記述はなくなりました プロセスの運用を支援するための文書化した情報を維持し これらのプロセスが計画通りに実行されたと確信するために必要な文書化した情報を保持することは 組織の責任です 必要な文書類の程度は 事業の

9100 Key Changes Presentation

恣意的に限定した適用範囲になっていませんか 主力サイトは適用範囲外になっていませんか ( 当該サイト活動を適用範囲外することにより経営的に大きな影響を受けていませんか ) 環境マネジメントシステムの意図した成果 ( 箇条 4.1) に影響する部門 部署を除外していませんか 適用範囲に含まれるサイトと

<4F F824F B4B8A B818E968D802E786C73>

4.4 マネジメントシステム プロセス 5 リーダーシップ 5.1 リーダーシップ コミットメント 組織の状況を考慮し リスク ( 不確かさに影響 ) 及び機会 ( 何かをするのによい時期 ) として取り組むことを決定した情報から適用範囲に含まれていない範囲が存在していませんか恣意的に限定した適用範

ISO 制定 / 改訂の経緯 1996 年 : ISO 発行 (JIS Q14001 発行 ) 2004 年 : ISO 第 2 版発行 (JIS Q14001 発行 ) 2011 年 : ISO/TC207/SC1において 改訂を行うことを決定 2012 年 ~

目次 4. 組織 4.1 組織及びその状況の理解 利害関係者のニーズ 適用範囲 環境活動の仕組み 3 5. リーダーシップ 5.1 経営者の責務 環境方針 役割 責任及び権限 5 6. 計画 6.1 リスクへの取り組み 環境目標

< C582C C58B4B8A6982C682CC95CF8D58935F88EA C30382D31312D33302E786C73>

柔軟な文書化要求 それぞれの詳細説明は の ISO/FDIS14001:2015 規格説明会資料に譲りますが いずれもその考え方は既に ISO14001:2004 に含まれており 2015 年版への改訂に当たり EMS に関する 意図した成果 の達成に向けて IAF が強調しておきたいことを記載した

目 次 1. 適用範囲 P4 2. 引用規格 P5 3. 用語及び定義 P5 4. 組織の状況 P7 4.1 組織及びその状況の理解 P7 4.2 利害関係者のニーズ及び期待の理解 P7 4.3 個人情報保護マネジメントシステムの適用範囲の決定 P7 4.4 個人情報保護マネジメントシステム P7

<90528DB88EBF96E2955B2E786C73>

京橋スマートコミュニティ協議会 制定 改訂履歴 改廃年月日版改訂理由作成者承認者 制定 XXXX XXXX 一次審査 XXXX XXXX 2/21

JISQ 原案(本体)

Microsoft Word - RM最前線 doc

Microsoft Word - ㆿㆡㆮ㆑EMS覑怼ï¼ı第丛盋_å“°å‹·çfl¨

IAF ID 2:2011 Issue 1 International Accreditation Forum Inc. 国際認定機関フォーラム (IAF) IAF Informative Document ISO/IEC 17021:2006 から ISO/IEC 17021:2011 への マネ

<4D F736F F D2095B68F E838A F939D8D8794C55F>

PowerPoint プレゼンテーション

ISO/FDIS 9001 の概要 TC 176 国内委員会委員 中條武志 ( 中央大学 ) 1

ISO19011の概要について

Information Security Management System 説明資料 2-2 ISMS 適合性評価制度の概要 一般財団法人日本情報経済社会推進協会情報マネジメント推進センター副センター長高取敏夫 2011 年 9 月 7 日

Microsoft Word - con 監査チェックリスト QMR

ISO/FDIS ISO 9001 の主要な変更点 1. 附属書 SL の適用 2. 組織の状況の理解と QMS の適用範囲の決定 3. プロセスアプローチの適用向上それを支援する PDCA サイクルとリスクに基づく考え方 4. リーダーシップの強化 5. 組織の意図した結果 顧客満足の向上 パフォ

1 主要機関の情報 ISO 改訂に関する情報 ( 調べ ) (1)( 一社 ) 日本規格協会 (JAS) の情報 第 21 回 ISO/TC207( 環境管理 ) 総会報告

BCMSユーザーズガイド -ISO 22301:2012対応-

統合化の概要次回の改訂時迄には ISO D Guide83 に沿って整合性を図った 要求事項の定義 要求事項タイトル 要求事項の順番 そして定期的な適切性や妥当性有効性等の強化を含む見直しによって追加補充や変更点への対応を含めた対応が必要とされるが 統合化の構成の概要は 以下の通りススムパートナーズ

組織 (organization) 自らの目的を達成するため 責任 権限及び相互関係を伴う独自の機能をもつ 個人 又は人々の集まり 注記 1 組織という概念には 法人か否か 公的か私的かを問わず 自営業者 会社 法人 事務所 企業 当局 共同経営会社 非営利団体若しくは協会 又はこれらの 一部若しく

Microsoft Word - Frequently_Asked_Questions_on_ISO_14001-J.docx

提出を求めることが想定される 本連載は 2015 年版によるシステム変更をマニュアルに反映させるため 要求項目順に 2004 年版と FDIS の差異の説明 マニュアルの改訂例という構成で 6 回に渡り整理するものである 2.FDIS と 2004 年版の構成比較 FDIS と 2004 年版の構成

< E9197BF C C A88D5C BA492CA29817A C982A882AF82E98FEE95F1835A834C A CE8DF4834B BD82BD82AB91E4816A5F34325F E977095D E786C7

<4D F736F F D20939D8D87837D836A B B816996E BB8DEC8F8A816A F90BB8DEC E646F63>

Microsoft PowerPoint - ISO9001規格要求事項の理解

IAF ID X:2014 International Accreditation Forum, Inc. 国際認定機関フォーラム (IAF) IAF Informative Document IAF Informative Document for the Transition of Food S

する 2 利害関係者がこれを入手できる ISO14001 では利害関係者が入手可能なものとして 環境方針がある 環境方針と併せて利害関係者が要請した場合 渡すことが出来る状態にすることが必要である 一般的には自社のホームページに掲載していれば 誰でも入手可能な状態と言える (3) 環境マニュアルの例

ISO/TC176/SC2/N1291 品質マネジメントシステム規格国内委員会参考訳 ISO 9001:2015 実施の手引 目次 1.0 序文 2.0 ISO 9001:2015 改訂プロセスの背景 3.0 ユーザグループ 4.0 実施の手引 4.1 一般的な手引 4.2 ユーザグループのための具

IATF16949への移行審査

2 序文この規格は,2004 年に第 2 版として発行された ISO 14001:2004,Environmental management systems -Requirements with guidance for use を翻訳し, 技術的内容及び規格票の様式を変更することなく作成した日本工

Microsoft Word 移行監査の着眼点160402

SGEC 附属文書 理事会 統合 CoC 管理事業体の要件 目次序文 1 適用範囲 2 定義 3 統合 CoC 管理事業体組織の適格基準 4 統合 CoC 管理事業体で実施される SGEC 文書 4 CoC 認証ガイドライン の要求事項に関わる責任の適用範囲 序文

Microsoft Word - ISO 9001要求事項のエッセンス 改 国府保周

目 次 1. 適用範囲 P4 2. 引用規格 P5 3. 用語及び定義 P5 4. 組織の状況 P6 4.1 組織及びその状況の理解 P6 4.2 利害関係者のニーズ及びと期待の理解 P6 4.3 環境マネジメントシステムの適用範囲の決定 P6 4.4 環境マネジメントシステム P6 5. リーダー

Microsoft Word - JIS_Q_27002_.\...doc

PowerPoint プレゼンテーション

< E F824F F C581408B4B8A B818E968D80815E F824F825794C582C682CC918A88E1935F2E786C7378>

ISO/IEC 27001:2005認証取得済み組織のISO/IEC 27001:2013への移行のための対応

ISO9001-whitepaper.pdf

Microsoft Word - con 監査チェックリスト EMR

Microsoft PowerPoint  講演資料.pptx

< C94C593E095948AC48DB E838A F902E786C7378>

ISO/IEC 17021:2011の概要、及び認定審査

FSMS ISO FSMS FSMS 18

パデセア黒柳 ISO 改訂版対応 - 環境マニュアル改訂文例 第 4 回 :ISO14001:2015 逐条解説と環境マニュアルの例 (6.2~7.4.3) ISO 改訂版対応 - 環境マニュアル改訂文例 として今回は 6.2 環境目標及びそれを達 成するための計画策定 7.

図表 11に都道府県別取得件数 ( 上位 10 位 ) を 図表 12に産業分野別取得件数 ( 上位主要産業分野 ) を 図表 13に産業分野別取得件数の推移を示します 産業分野別件数 ( 図表 12) では最も多いのが 建設 の15,084 件 次いで 基礎金属 加工金属製品 の6,434 件 電

<4D F736F F F696E74202D2091E6368FCD5F95F18D908B7982D D815B >

スライド 1

IAF-MD 3:2008 ASRP

レジリエンスの取り組みに 関わるディスカッション

よくお聞きする内部監査の課題 課題 1 毎年 同じチェックリスト ( 同じ質問 ) 課題 2 内部監査への積極的関与が乏しい 課題 3 形式的で 実用的でない ( 審査のためのもの ) 課題 4 あら探しになっている 課題 5 質問が抽象的でわかりにくい 課題 6 文書と記録ばかり求める課題 7 不

目次序文 適用範囲 引用文書 用語と定義 一般要求事項 法的及び契約上の事項 法的責任 認証の合意 ライセンス, 認証書及び適合マークの使用... 5

Microsoft Word - 品質マニユアル2015.doc


目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

1 適用範囲 2 引用規格 3 用語の定義 69の用語 4- 組織の状況新規 4.1- 組織とその状況の理解 [1] 2 組織は 組織組織の目的目的と戦略戦略の方向方向に関係する内外の課題課題を決定しなければならない これらの課題は 想定された結果を達成する上で品質マネジメントシステムの能力に影響す

管理区分 非管理版 文書番号 PMS-007 制定年月日 改訂年月日 改訂番号 1 購入希望の場合は P マークの取得及び更新に必須となる文書のサンプルです ページ最後の購入方法をご確認ください 修正可能なワードファイルで提供して

ISMS情報セキュリティマネジメントシステム文書化の秘訣

Microsoft Word - IRCA250g APG EffectivenessJP.doc

Microsoft Word - N1222_Risk_in_ (和訳案).docx

Microsoft PowerPoint - 第6章_要員の認証(事務局;110523;公開版) [互換モード]

プロジェクトマネジメント知識体系ガイド (PMBOK ガイド ) 第 6 版 訂正表 - 第 3 刷り 注 : 次の正誤表は PMBOK ガイド第 6 版 の第 1 刷りと第 2 刷りに関するものです 本 ( または PDF) の印刷部数を確認するには 著作権ページ ( 通知ページおよび目次の前 )

OHSAS 18001:2007 OCCUPATIONAL HEALTH AND SAFTY ASSESSMENT SERIES 労働安全衛生評価シリーズ Occupational health and safety management system- Requirements 労働安全衛生マネジ

概要 このホワイトペーパー ( 白書 ) は 2014 年 5 月に発行された現在のドラフト版である ISO/ DIS9001 ( 以下 DIS9001) の内容に関する見解を述べたものです このホワイトペーパーは DIS9001 のすべての要求事項を完全に解説するものではなく DIS9001 で提

PowerPoint プレゼンテーション

Microsoft Word - JIS Q 13485見直し版_050614_.doc

目次 0. 序文 適用範囲 引用文書 用語と定義 一般要求事項 法的及び契約上の事項 法的責任 認証の合意 ライセンス, 認証書及び適合マークの使用.

SJAC規格の作成及び発行手順

なぜ社会的責任が重要なのか

文書管理番号

<4D F736F F D BD896694C C668DDA FEE95F1835A834C A AC7979D8AEE8F BD90AC E89FC90B394C5816A2E646F6378>

[ 指針 ] 1. 組織体および組織体集団におけるガバナンス プロセスの改善に向けた評価組織体の機関設計については 株式会社にあっては株主総会の専決事項であり 業務運営組織の決定は 取締役会等の専決事項である また 組織体集団をどのように形成するかも親会社の取締役会等の専決事項である したがって こ

ISO/IEC 改版での変更点

Microsoft Word - JSQC-Std 目次.doc

15288解説_D.pptx

Microsoft Word - MSBSR41606(J)-3 EMS_Rev.1.docx

3 参照基準次に掲げる基準は この基準に引用される限りにおいて この基準の一部となる - プライバシーマーク付与適格性審査実施規程 - プライバシーマーク制度における欠格事項及び判断基準 (JIPDEC) 4 一般要求事項 4.1 組織 審査業務の独立性審査機関は 役員の構成又は審査業務

(Microsoft Word - ISO13485\201F2003\213K\212i)

序文 0.4 Plan-Do-Check-Actモデル環境マネジメントシステムの根底にあるアプローチの基礎は Plan-Do-Check-Act(PDCA) という概念に基づいています PDCAモデルは 絶え間ない改善を達成するために用いる反復的なプロセスを示しています PDCAモデルは環境マネジメ

Microsoft Word - 規則11.2版_FSSC22000Ver.4特例.doc

Transcription:

JIS Q 27001:2014 への 対応について 一般財団法人日本情報経済社会推進協会情報マネジメント推進センターセンター長高取敏夫 2014 年 10 月 3 日 http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2014 1

アジェンダ ISMS 認証の移行 JIS Q 27001:2014 改正の概要 Copyright JIPDEC ISMS, 2014 2

ISO 規格及び JIS 規格制定の経緯 Copyright JIPDEC ISMS, 2014 3

移行の期間は IAF の方針 (IAF Resolution 2013 13) に従い 規格発行から 2 年間 (2015 年 10 月 1 日まで ) とする 移行計画のイメージを下図に示す ISMS 認証の移行 Copyright JIPDEC ISMS, 2014 4

ISMS 認証の移行計画 1 2 3 JIS Q 27001:2006(ISO/IEC 27001:2005) による初回認証審査 ( 新規の認証 ) は ISO/IEC 27001:2013 の規格発行後 1 年以内に登録を完了すること また 2015 年 10 月 1 日までに ISO/IEC 27001:2013 への移行を完了すること ISO/IEC 27001:2013 発行後 認証機関は適用規格として ISO/IEC 27001:2013 又は JIS Q 27001:2006(ISO/IEC 27001:2005) のいずれの規格を使用するかについて組織と合意するとともに 適用規格として使用した規格を審査計画 審査報告書及び認証文書で明記すること また ISO/IEC 27001:2013 による初回審査の場合には 認証機関は ISO/IEC 27001:2013 に基づいて認証審査をするための手順が完備していること JIS Q 27001:2006(ISO/IEC 27001:2005) で認証登録されている組織に対しては ISO/IEC 27001:2013 発行後の維持審査 ( サーベイランス ) 又は再認証審査において JIS Q 27001:2014(ISO/IEC 27001:2013) への移行のための差分審査を含むことが望ましい Copyright JIPDEC ISMS, 2014 5

1 2 3 4 ISMS 認証の移行に関する留意事項 既存又は新規の組織に対する審査計画は ISO/IEC 27001:2013 の規格発行後 6 ヶ月経過時点からは適用規格として ISO/IEC 27001:2013 を含むことが望ましい 規格の改訂内容に対する差分審査を行うだけの目的で認証機関が追加の訪問を実施することは 要求しない JIS Q 27001:2006(ISO/IEC 27001:2005) で認証登録されている既存の組織については JIS Q 27001:2014(ISO/IEC 27001:2013) 規格中の変更内容に不適合を指摘することがあっても 当該不適合は移行期間の終了までは登録に対して不利益な影響を及ぼさないこと 認証文書に記載されている規格名称は 当該審査計画で記載されていた版と整合していること 通常は既存の組織に対して 27001:2014 (ISO/IEC 27001:2013) を適用した結果に基づき 認証機関が認証文書を新しくすることであり この認証文書はそれまでの認証のサイクルを変更しないことが望ましい ただし 完全な更新審査を実施した場合はこの限りではない Copyright JIPDEC ISMS, 2014 6

JIS Q 27001:2014 改正の概要 JIS Q 27001:2014 改正の意義 JIS Q 27001:2014とJIS Q 27001:2006との対比 JIS Q 27001:2006 附属書 Aとの対応 JIS Q 27001:2014 改正のポイント (1)~(9) ISO MSS 共通要素の概要 ISO MSS 共通要素の各章の構成 JIS Q 27001:2014の構成 (1)~(3) JIS Q 27001:2014の各箇条の関係 Copyright JIPDEC ISMS, 2014 7

JIS Q 27001:2014 改正の意義 JIS Q 27001:2014 は ISO MSS の共通要素を取り込んだタイプ A のマネジメントシステム規格となっているので 効果的に組織のマネジメントシステムを構築 運用することが可能である 組織が運用する他のマネジメントシステムとの親和性も高まり ISMS 導入の一層の効果が期待できる 既に ISMS 認証を取得されている組織は 現在の仕組みを大幅に変更することはないが 従前に比べ計画段階における経営的な視点での見直しが必要である Copyright JIPDEC ISMS, 2014 8

JIS Q 27001:2014 と JIS Q 27001:2006 との対比 JIS Q 27001:2014 JIS Q 27001:2006 Copyright JIPDEC ISMS, 2014 9

JIS Q 27001:2006 附属書 A との対応 JIS Q 27001:2014 附属書 A JIS Q 27001:2006 附属書 A A.5 情報セキュリティのための方針群 A.5 情報セキュリティ基本方針 A.6 情報セキュリティのための組織 A.6 情報セキュリティのための組織 A.7 人的資源のセキュリティ A.8 人的資源のセキュリティ A.8 資産の管理 A.7 資産の管理 A.9 アクセス制御 A.11 アクセス制御 A.10 暗号 A.11 物理的及び環境的セキュリティ A.9 物理的及び環境的セキュリティ A.12 運用のセキュリティ A.10 通信及び運用管理 A.13 通信のセキュリティ A.14 システムの取得, 開発及び保守 A.12 情報システムの取得, 開発及び保守 A.15 供給者関係 A.16 情報セキュリティインシデント管理 A.13 情報セキュリティインシデントの管理 A.17 事業継続マネジメントにおける情報セキュリティの側面 A.14 事業継続管理 A.18 順守 A.15 順守 Copyright JIPDEC ISMS, 2014 10

ISO MSS 共通要素の適用 JIS Q 27001:2014 改正のポイント (1) JIS Q 27001:2014 は ISO MSS 共通要素を適用して開発されたマネジメントシステム規格となっており その上で 情報セキュリティに不可欠な ISMS 固有の要求事項が規定されている リスクアセスメント及びリスク対応のプロセスは ISO 31000:2009(JIS Q 31000:2010) との整合が考慮されている 情報セキュリティ方針及び情報セキュリティ目的を確立し それらが組織の戦略的な方向性と両立することを確実にしなければならない Copyright JIPDEC ISMS, 2014 11

適用範囲 JIS Q 27001:2014 改正のポイント (2) JIS Q 27001:2006 では 事業 組織 所在地 資産 技術の特徴の見地から ISMS の適用範囲及び境界を定義し 適用範囲からの除外についてその詳細及びそれが正当である理由も含めるものとする としていた JIS Q 27001:2014 4.3 ISMS の適用範囲の決定 では その境界及び適用可能性を決定し 適用範囲を決定するとき 外部及び内部の課題 利害関係者のニーズ及び要求事項 インタフェース及び依存関係を考慮しなければならない とし より広い観点から ISMS の適用範囲及び境界を定義することを求める内容となった Copyright JIPDEC ISMS, 2014 12

予防処置の概念 JIS Q 27001:2014 改正のポイント (3) JIS Q 27001:2006 8.3 予防処置 項では 組織は ISMS の要求事項に対する不適合の発生を予防するために 起こり得る不適合の原因を除去する処置を決定しなければならない としていた JIS Q 27001:2014 組織及びその状況の理解 では マネジメントシステムの目的には 本来 予防的なツールとしての役割をもつために 組織の目的に関連し 意図した成果を達成する組織の能力に影響を与える 外部及び内部の課題を広い視点で評価をすることを要求している さらに 6.1 リスク及び機会に対処する活動 においても 広い視点で ISMS が意図した成果を達成できること確実にすることを要求している Copyright JIPDEC ISMS, 2014 13

法令及び規制の要求事項 JIS Q 27001:2014 改正のポイント (4) JIS Q 27001:2006 では 法令及び規制の要求事項並びに契約上のセキュリティ義務を明確にし これを扱う としていた JIS Q 27001:2014 4.2 利害関係者のニーズ及び期待の理解 では 組織は ISMS に関連する利害関係者及びその利害関係者の情報セキュリティに関連する要求事項を決定しなければならない とし 利害関係者の要求事項には 法的及び規制要求事項並びに契約上の義務を含めてもよい としている 組織が利害関係者の利益のため 適用される法令及び規制の要求事項を特定し 常に最新化させ 周知し 順守状況を意識して取り組むことは当然の要求事項であると考えられる Copyright JIPDEC ISMS, 2014 14

リスク及び機会 JIS Q 27001:2014 改正のポイント (5) JIS Q 27001:2014 6.1 リスク及び機会に対処する活動 の 6.1.1 では ISMS の計画を策定するとき 組織は 4.1 に規定する課題及び 4.2 に規定する要求事項を考慮し 次の事項のために対処する必要があるリスク及び機会を決定しなければならない としている ISO 31000:2009(JIS Q 31000:2010) によると リスクは 目的に対する不確かさの影響 のことであり 影響とは 期待されていることから 好ましい方向又は好ましくない方向に乖離すること としている 組織の事業リスクを理解する上では ISO 31000 5.3 組織の状況の確定 を考慮して 4.1 組織及びその状況の理解 との整合を確保することが リスクマネジメントの重要なポイントとであると考えられる Copyright JIPDEC ISMS, 2014 15

リスクアセスメント JIS Q 27001:2014 改正のポイント (6) JIS Q 27001:2006 では リスクアセスメントに対する組織の取組み方を定義する としていた JIS Q 27001:2014 では リスクアセスメントに関する要求事項の記述レベルを ISO 31000:2009(JIS Q 31000:2010) に合わせたと考えられる そのため 要求事項の上位レベルの記述 ( 情報セキュリティリスクを特定する ) には CIA( 機密性 完全性及び可用性 ) の視点でリスクを特定することが要求されており JIS Q 27001:2006 に沿ったリスクアセスメントも具体的な方法の 1 つとして引き続き有効である さらに JIS Q 27001:2014 では リスクアセスメントの選択の幅が広がり 組織の実情に沿ったリスクアセスメントの方法の適用が可能になった Copyright JIPDEC ISMS, 2014 16

情報セキュリティリスク対応 JIS Q 27001:2014 改正のポイント (7) JIS Q 27001:2006 では リスク対応のための選択肢を特定し 評価する 適切な管理策は リスクアセスメント及びリスク対応のプロセスにおいて特定した要求事項を満たすために選択 導入し この選択には 法令 規制及び契約上の要求事項と同じく リスク受容基準も考慮する 適用宣言書及びリスク対応計画を作成する リスク対応計画及び残留リスクについて 経営陣の承認を得る こととしていた JIS Q 27001:2014 6.1.3 情報セキュリティリスク対応 では 組織は 情報セキュリティリスク対応のプロセスを定め 適用しなければならない これには リスクアセスメントの結果を考慮して 適切な情報セキュリティリスクの対応の選択肢を選定し 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する 決定した管理策を附属書 Aに示す管理策と比較し 必要な管理策が見落とされていないことを検証し 適用宣言書及び情報セキュリティリスク対応計画を作成する 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について リスク所有者の承認を得る こととしている Copyright JIPDEC ISMS, 2014 17

文書化した情報 JIS Q 27001:2014 改正のポイント (8) JIS Q 27001:2006 では ISMS が要求する文書は 保護し 管理しなければならない また 必要な管理活動を定義するために 文書化した手順を確立しなければならない としていた JIS Q 27001:2014 7.5 文書化した情報 では ISMS 及びこの規格で要求されている文書化した情報及び ISMS の有効性のために必要であると組織が決定した文書化した情報は 確実に管理しなければならない としている ここでの文書化した情報の定義は 組織が管理し 維持するよう要求されている情報 及びそれが含まれている媒体としている JIS Q 27001:2006 では 文書と記録の管理 が区別され異なる要求事項でしたが JIS Q 27001:2014 では 文書化した情報の管理 としてまとめられた Copyright JIPDEC ISMS, 2014 18

附属書 A( 管理目的及び管理策 ) JIS Q 27001:2014 改正のポイント (9) JIS Q 27001:2006 では 附属書 A の中から ~ 管理目的及び管理策を選択 することが要求されていたが ISO/IEC 27001:2014 では 必要な全ての管理策を決定 し この管理策を 附属書 A に示す管理策と比較し 必要な管理策が見落とされていないことを検証する ことが求められるようになった これにより 組織は附属書 A だけではなく 任意の管理策群を適用することも可能となった JIS Q 27002:2014 では 従来の規格と比較すると 近年の脅威の変化に対応すべくその範囲を広め 管理策の記載に関しては表現をやや抽象化することで いくつかの管理策を統合させ 詳細な管理策については 関連する ISO/IEC 27000 ファミリ規格を参照させるようになった Copyright JIPDEC ISMS, 2014 19

ISO MSS 共通要素の概要 ISO マネジメントシステム規格の増加を受けて ISO によりマネジメントシステム規格 (MSS: Management System Standard) 間の整合化が検討された その結果 2012 年 5 月に ISO/IEC 専門業務用指針第 1 部統合版 ISO 補足指針 附属書 SL( 規定 ) マネジメントシステム規格の提案 として発行され 今後全ての MSS はこれを適用することになった 附属書 SL の狙いは 合意形成され 統一された 上位構造 共通の中核となるテキスト 並びに共通用語及び中核となる定義 (MSS 共通要素 ) を示すことによって ISO マネジメントシステム規格の一貫性及び整合性を向上させることである とされている MSS 共通要素は この附属書 SL に規定されている 詳細については 次の URL を参照されたい http://www.jsa.or.jp/itn/pdf/shiryo/isohosoku_taiyaku1405.pdf Copyright JIPDEC ISMS, 2014 20

ISO MSS 共通要素の各章の構成 1 適用範囲 2 引用規格 3 用語及び定義 4 組織の状況 4.1 組織及びその状況の理解 4.2 利害関係者のニーズ及び期待の理解 4.3 XXX マネジメントシステムの適用範囲の決定 4.4 XXX マネジメントシステム 5 リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割 責任及び権限 6 計画 6.1 リスク及び機会への取組み 6.2 XXX 目的及びそれを達成するための計画策定 7 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報 8 運用 8.1 運用の計画及び管理 9 章パフォーマンス評価 9.1 監視 測定 分析及び評価 9.2 内部監査 9.3 マネジメントレビュー 10 改善 10.1 不適合及び是正処置 10.2 継続的改善 Copyright JIPDEC ISMS, 2014 21 ( 注記共通テキストのXXXには 分野固有の修飾語が入ります ISO/IEC 27001の場合には 情報セキュリティが入ります )

JIS Q 27001:2014 の構成 (1) ISO/IEC 27001:2013(JIS Q 27001:2014) 0 序文 ISMS は リスクマネジメントを適用することで 情報セキュリティを確保し かつ リスクを適切に管理しているという信頼を利害関係者に与える ISMS を 組織のプロセス及びマネジメント構造全体の一部として 組み込む この規格で示す要求事項の順序は その重要性を反映するものでもなく またそれを実施する順序を示すものでもない 1 適用範囲箇条 4 から箇条 10 に規定する要求事項の例外はみとめられない 2 引用規格 ISO/IEC 27000 を適用する 3 用語及び定義 ISO/IEC 27000 で規定されている用語及び定義を適用する 4 組織の状況 4.1 組織及びその状況の理解組織における状況を理解することが重要である 外部 内部の課題の決定については ISO 31000:2009 の 5.3 の外部 内部の状況を参照する 概略 4.2 利害関係者のニーズ及び期待の理解関連する利害関係者の特定とその要求事項を決定する 利害関係者の要求事項には 法的及び規制の要求事項並びに契約上の義務を含めることが考慮される 4.3 情報セキュリティマネジメントシステムの適用範囲の決定組織は ISMS の適用範囲を決めるために その境界及び適用可能性を決定する このとき 組織は 4.1 に規定する外部及び内部の課題 4.2 に規定する要求事項を考慮する 4.4 情報セキュリティマネジメントシステム組織は ISMS を確立 実施 維持及び継続的に改善する 5 リーダーシップ 5.1 リーダーシップ及びコミットメントトップマネジメントは ISMS に関するリーダーシップとコミットメントを実証する 5.2 方針トップマネジメントは 情報セキュリティ方針を確立する 5.3 組織の役割 責任及び権限トップマネジメントは 情報セキュリティに関連する役割に対して 責任及び権限を割り当て 伝達することを確実にする

JIS Q 27001:2014 の構成 (2) 6 計画 ISO/IEC 27001:2013(JIS Q 27001:2014) 6.1 リスク及び機会に対処する活動 6.1.1 一般 ISMS の計画を策定するとき 組織は 4.1 の課題及び 4.2 の要求事項を考慮し リスク及び機会を決定する (ISMS がその意図した成果を達成できることを確実にするため 望ましくない影響を防止又は低減するため 継続的改善を達成するため ) 6.1.2 情報セキュリティリスクアセスメント情報セキュリティのリスク基準を確立し リスクを特定 分析 評価する 概略 6.1.3 情報セキュリティリスク対応情報セキュリティリスク対応のプロセスを定め リスク対応の選択肢を選定し 管理策を決定 適用宣言書及び情報セキュリティリスク対応計画を策定する 6.2 情報セキュリティ目的及びそれを達成するための計画策定組織は 関連する部門 階層において 情報セキュリティ目的を確立し それらを達成するための計画を策定する 7 支援 7.1 資源組織は ISMS の確立 実施 維持及び継続的改善に必要な資源を決定 提供する 7.2 力量情報セキュリティパフォーマンスに影響を与える業務を組織の管理下で行う人々に必要な力量を決定 力量を備えることを確実にする 7.3 認識組織の管理下で働く人々は 情報セキュリティ方針 ISMS の有効性に対する自らの貢献 及び ISMS 要求事項に適合しないことの意味に関して認識をもつ必要がある 7.4 コミュニケーション組織は ISMS に関する内部及び外部のコミュニケーションを実施する必要性を決定する 7.5 文書化した情報組織は 規格が要求する文書化した情報 及び ISMS の有効性のために必要であると組織が決定した文書化した情報を ISMS に含む

JIS Q 27001:2014 の構成 (3) ISO/IEC 27001:2013(JIS Q 27001:2014) 概略 8 運用 8.1 運用の計画及び管理組織は 情報セキュリティ要求事項を満たすため 及び 6.1 で決定した活動を実施するために 必要なプロセスを計画 実施 管理する また 組織は 6.2 で決定した情報セキュリティ目的を達成するための計画を実施する 8.2 情報セキュリティリスクアセスメント組織は あらかじめ定めた間隔で 又は重大な変更の提案 重大な変化の発生のとき 情報セキュリティリスクアセスメントを実施する 8.3 情報セキュリティリスク対応組織は 8.2 に対するリスク対応を実施する 9 パフォーマンス評価 9.1 監視 測定 分析及び評価組織は情報セキュリティパフォーマンス及び ISMS の有効性を評価する 9.2 内部監査 組織は あらかじめ定めた間隔で内部監査を実施する 9.3 マネジメントレビュー トップマネジメントは あらかじめ定めた間隔で ISMSをレビューする 10 改善 10.1 不適合及び是正処置組織は 不適合が発生した場合 その不適合に対処し その原因を除去するための必要な処置を実施し 是正処置の有効性をレビューする 10.2 継続的改善組織は ISMS の適切性 妥当性及び有効性を継続的に改善する Copyright JIPDEC ISMS, 2014 24

JIS Q 27001:2014 の各箇条の関係 5. リーダーシップ 5.1 リーダーシップ及びコミットメント 5.2 方針 5.3 組織の役割 責任及び権限 4. 組織の状況 4.1 組織及びその状況の理解 組織をとりまく内外の課題 4.2 利害関係者のニーズ及び期待の理解 ISMS に関連する利害関係者の要求事項 6. 計画 6.1 リスク及び機会に対処する活動 6.1.1 一般 リスク及び機会の決定 6.1.2 情報セキュリティリスクアセスメント 6.1.3 情報セキュリティリスク対応 8. 運用 8.1 運用の計画及び管理 6.1 6.2 を実施 8.2 情報セキュリティリスクアセスメント 6.1.2 を実施 8.3 情報セキュリティリスク対応 6.1.3 を実施 9. パフォーマンス評価 9.1 監視 測定 分析及び評価情報セキュリティパフォーマンス及び ISMS の有効性を評価 9.2 内部監査有効に実施され 継続的に維持されているかを評価 9.3 マネジメント レビュー継続的改善の機会 及び ISMS の変更の必要性を決定 4.3 適用範囲の決定 適用範囲の境界及び適用可能性 6.2 情報セキュリティ目的及びそれを達成するための計画策定 10. 改善 10.1 不適合及び是正処置 10.2 継続的改善 7. 支援 7.1 資源 7.2 力量 7.3 認識 7.4 コミュニケーション 7.5 文書化した情報 Copyright JIPDEC ISMS, 2014 25

ISMS 認証の分野拡大を進め 今後他のマネジメントシステムとの統合化を図り ISMS 認証の付加価値の向上に努めたい < 問い合わせ先 > 一般財団法人日本情報経済社会推進協会情報マネジメント推進センター TEL: 03-5860-7570 FAX: 03-5573-0564 Web: http://www.isms.jipdec.or.jp/ Copyright JIPDEC ISMS, 2014 26

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック