ISO27001移行審査パーフェクトガイド | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.12.16(土)

ISO27001移行審査パーフェクトガイド

製品・サービス・業界動向 業界動向

BS7799/ISMSから「ISO27001」へ
〜 情報セキュリティの国際標準化の中で企業は今、何をすべきか
〜 ISO27001移行取得企業に聞く

情報セキュリティ管理の重要性が高まる中、その「事実上の国際標準」ともされていた英国規格「BS7799 Part2」が2005年10月に正式に国際規格「ISO/IEC 27001:2005」として標準化された。

あわせて日本版ともいえる「ISMS認証基準 Ver.2.0」も2006年春には「JIS Q 27001」として発行する。標準化にともない、現在、すでに「BS7799 Part2」や「ISMS認証基準 Ver.2.0」を取得している企業でも、新たに「ISO/IEC 27001:2005」や「JIS Q 27001」への移行を迫られる。

そこで、BS7799やISMSの認証取得のコンサルティングで100社以上の実績を誇り、国内企業としていち早く「ISO/IEC 27001:2005」を取得した株式会社ジェイエムシー コンサルティング&セキュリティカンパニー リスクマネジメント本部 本部長の宮崎 亮氏に、新規格の特徴、移行・取得のための具体的な留意点について聞いた。

ISO27001は運用状況の検証と効果測定を求める


「ISO27001で実効性がより高まる」ジェイエムシー 宮崎氏
編集部:株式会社ジェイエムシーは、国内企業としては、いち早くISO27001の認証を取得しました。その経緯を踏まえて、国際標準化、ISO化にともなう大きな変更点は何であるとお考えでしょうか。

宮崎(敬称略):これまでもBS7799シリーズ、ISMSでは、ともに情報セキュリティ対策の「計画(Plan)」「実行(Do)」「評価(Check)」「改善(Act)」の「PDCAサイクル」の実施が求められていました。国際標準化にともない、さらに詳細な管理策の項目が追加され、PDCAサイクルの実施による情報セキュリティ対策の具体的な「効果測定」が要求されるようになったというのが大きな変更点です。より実践的なPDCAサイクルを求められているのです。

認証取得しただけで、ISMS(情報セキュリティマネジメントシステム)を運用しきれていない企業もあると聞いていますが、今後は形骸化しづらい規格に変更したといえるでしょう。言い換えるとISO27001認証を取得した企業は「確実に」運用でき、その「結果」として情報セキュリティを守ることができる。こう言えるでしょう。
管理策が127項目から133項目へ、チェック機能を強化し、形骸化を防ぐ

編集部:なるほど、より企業の信頼性を評価できる認証になったのですね。その具体的な変更ポイントをいくつか教えてください。

宮崎:全体としては、従来の127項目の管理策が133項目へと増加しています。新たに追加された管理策が17項目で、削除されたものが9項目、さらに管理策の内容を示す文言がより具体的な記述に変更されたものなどが23項目もあります。
このうち、わかりやすい事例を2つほど取り上げて、どういった方向性で変更されたかを示しましょう。

まずは、要求事項の「4章 2.3.c」(4.2.3.c)です。ここでは「セキュリティ要求事項が満たされていることを検証するために、管理策の有効性を測定する」とあります。
たとえば、関連会社と機密保持契約を締結したとします。従来は「契約を締結しています」でよかったのですが、今回からは「その機密保持契約がしっかりと機能しているかどうか」を検証しなければなりません。「形骸化」があってはならないのです。

このように、全体を通じて、実際の業務の中で実行していく際に見落とされがちなセキュリティの問題点が改善され、より実効性の高いものになったといえるのではないでしょうか。

編集部:機密保持契約は一度締結してしまうと、細かい内容を徐々に忘れていってしまう。締結した内容を忘れず運用できるようにチェック機能を設けることで情報管理とセキュリティの徹底を図るのですね。より明確により具体的に実行すべきポイントが示されているようですね。もう一つの事例を聞かせてください。

宮崎:二つ目の例は、新たに追加された管理策17項目について「附属書A 7.1.2」で示されている「資産の保有者」項目です。
多くの企業では個人情報を収集し管理していますが、従来では、その情報の「管理者」を明確にすることが求められていました。ところが今回は、新たに「資産の保有者」も明確にしなければなりません。保有者とは、情報のコピーを認めるかどうかの判断をしたり、新たに収集した個人情報を追加するかどうかの判断をするなど、情報資産の利用およびセキュリティに関する、いわば全責任を持つことになります。
この保有者を明確にすることの意味合いは「情報のオーナー」を明確にするということです。たとえば、個人情報が会社内でさまざまにコピーされ、部署や支社、支店などで活用されているケースも多いでしょう。そんな場合でも、個人情報開示の請求があると、その可否の判断は「資産の保有者」が行います。コピーした情報を所有している部署のトップが「これはうちで所有しているものだから」といって判断することはできません。情報のいわば「所有権」が保有者にあり、その利用やセキュリティについての管理責任がより明確になったのです。

スムースな移行のためには追加17項目と変更23項目、合計40項目をどう解釈し実行するか
編集部:ところで、実際にISO27001の認証を取得するのにかかった時間や人的リソース、移行手続きの手順などについて教えてください。

宮崎:管理策133項目について、読めば「内容を理解すること」はできるのです。ポイントは「いかに解釈して実践する」か。ノウハウという用語でいうならば、読んで知ること、つまり「Know」はできても「How」がわからない。追加17項目と変更23項目の合計40項目を全て解釈し、いかに実行するかの「How」を実現するためのツールやフォーマットを作成しました。これに2カ月程度かかりました。ただし、ここまででは、まだ「How」の段階。これを「PDCAサイクル」の「Do」に落とし込めていく作業、つまりは周知し徹底し実行させる作業にも時間がかかるのです。

弊社はBS7799、ISMS、Pマークなどの取得のコンサルティング業務を手がけていますので、その分野に関しては専門的なナレッジの蓄積もあります。それでも2カ月程度はかかりましたので、一般の企業であれば、最低でも2人の専任担当者を配置する必要があり、その上で短くても3カ月、通常は半年程度は必要となるではないでしょうか。手順としては、すでにBS7799やISMSを取得している企業がおもな対象となりますので、その3カ月、あるいは半年に1度の割合で実施される継続審査(維持・更新審査)の際に、審査機関から「差分審査」を受けて必要十分な要件を満たすことが必要となります。
新たな認証へのスムースな移行を実現するノウハウ満載のセミナーを開催

編集部:ジェイエムシーでは、今回ISO27001を取得した経験を踏まえて、新規格への移行を目指す企業に対してセミナーを開催するそうですが。

宮崎:国際標準化にともない従来の認証を取得している企業は、その「認証」のマークを継続して利用するためには「18カ月以内」に移行しなければなりません。具体的には「BS7799」を取得している企業であれば、2005年11月に日本語版が発行されましたので、それから18カ月以内、「ISMS認証 Ver.2.0」を取得している企業であれば2006年春にJIS Q 27001が発行予定ですので、それから18カ月以内での移行が必要です。18カ月後にはISMS認証 Ver.2.0は「廃止」されます。

現在、取得している認証の維持・更新審査が実施されるタイミングを考慮し、そのタイミングで移行を終了させるとしたら、最低でもその3カ月前からは準備に入る必要があります。たとえば「2006年6月に維持・更新審査がある」企業であれば、逆算すれば2006年3月からは準備に入りたい。準備に入るための予備知識を得るには、もう年明けから情報収集が必要となるでしょう。

以上の市場のニーズを考えて、ジェイエムシーでは2006年1月19日、25日に、新たな認証へのスムースな移行を実現するためセミナーを実施します。「自社の情報セキュリティは安心です」とアピールできるはずの認証マークが利用できなくなり、ライバル企業は、いち早く新規格に移行する・・・。国際標準に対応していないとなれば、企業にとって大きなマイナスになります。そんな企業のスムースな移行を支援するセミナーです。

宮崎:どんな管理策が追加されたのか、どんな変更点があるのかは公表されています。読めば「文面としては」理解できます。ただし、いかに実行レベルに落とし込むか「How&Do」がわからない。そこをお教えするセミナーです。

セミナー参加者には、移行に必要な文書フォーマット、ツールなどをセットにしたオリジナルの「移行手順様式集」をお渡しします。とにかく、移行手続きで時間がかかるのは、文面の解釈と実行に落とし込むためのHow&Doなのです。このセミナーに参加することで、最も時間かかるところを効率的に進めるための手順を理解できる。移行手続きに費やす時間を約3分の1に短縮できるのではないかと自負しています。そのくらい「中身は濃い」ですよ。







移行手続を短縮する、ジェイエムシー社オリジナルの「移行手順様式集」(写真は作成中のサンプルです)
 
セミナー名
【有償】ISO27001移行審査パーフェクトガイド
日時

【第3回】 2006年2月17日 14:00〜17:00
【第4回】 2006年3月16日 14:00〜17:00

会場
株式会社ジェイエムシー 本社会議室  東京都新宿区新宿6-24-16 新宿6丁目ビル3F
地図はこちら
受講料

40,950円 ( 消費税込 )

締切 2006年01月13日
問い合わせ先 マーケティンググループ
TEL:03-5285-9821  E-mail:semiweb@jmc.ne.jp
担当:セミナー担当
詳細
詳しくはこちらのページよりご覧ください。
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

製品・サービス・業界動向 カテゴリの人気記事 MONTHLY ランキング

  1. イスラエルのサイバー防衛たてつけ~視察団報告

    イスラエルのサイバー防衛たてつけ~視察団報告

  2. カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

    カスペルスキーに関する一連の報道に対し、代表取締役社長の川合氏が言及

  3. 次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

    次世代FW+Sandbox+SIEM+SOCの管理体制が限界を迎えるとき~三年後を先取りするVectra Networks社製品とは

  4. シミュレーションゲーム「データセンターアタック」(トレンドマイクロ)

  5. サイバーセキュリティ経営ガイドライン改訂、経営者が指示すべき10項目見直しや事後対策取組など(経済産業省)

  6. 自分の利用しているサーバの状況を確認する方法 不正中継確認

  7. ダークウェブからAIで情報収集(DTRS、IISEC)

  8. 2020大会関係者向け疑似サイバー攻撃演習、システムを忠実に再現(NICT)

  9. EDRとSOCを連携させた標的型攻撃対策サービスを提供(TIS)

  10. 学校の自殺予防体制、情報セキュリティ技術活用

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×