ISMS, プライバシーマークに関するさまざまな資料と役立つリンク集

ISO/IEC 27001:2013要求事項体系図

2014/07/11
ISMS解説資料.  14,700 views

ISO/IEC 27001:2013(JIS Q 27001:2014)要求事項の構成

■MSS 上位構造(HLS)、MSS 共通テキスト(要求事項)及び共通用語・定義

ISO/IEC 27001:2013 は、基本的には旧規格(ISO/IEC 27001:2005)の要求事項(本文)及び附属書A(規定)を継承した要求事項となっています。
ただ、今回の改訂は、並行してISO 9001、ISO 14001、ISO/IEC 27001 などのISOマネジメントシステム規格(ISO MSS)の整合性を確保するための議論が行われ、MSS 上位構造(HLS)、MSS 共通テキスト(要求事項)及び共通用語・定義が開発され、今後全てのMSS はこれを適用することになりました。
ISO/IEC 27001:2013は、ISO MSS 共通要素を適用して開発されたマネジメントシステム規格の上に、情報セキュリティに不可欠なISMS 固有の要求事項が規定される形となっています。
「ISO/IEC 27001:2005 情報セキュリティ」
「ISO/IEC 27001:2013 共通要素 (HLS、共有テキスト、共通用語・定義) + 情報セキュリティ」
ISO/IEC 27001:2013 の構成は、旧規格であるISO/IEC 27001:2005 のマネジメントシステムの仕組みを大幅に変更することはありませんが、計画段階における組織の状況については、経営的な視点での見直しが必要となります。
これは、情報セキュリティ方針及び情報セキュリティ目的を確立し、それらが組織の戦略的な方向性と両立することを確実にしなければならない主旨の要求事項が追加されたためです。

■プロアセスアプローチとPDCAモデル

旧規格まであった「プロセスアプローチ」と「PDCAモデル」いう記述が、規格内から無くなりました。
これは、これらの概念が無くなったのではなく、MSSの標準として、プロセスアプローチやPDCAモデルは、27001を使用した組織が、自組織のマネジメントシステムを構築する時に、組織のプロセスのベースに採用すればよいという考えで、規格の要求事項としては削除されたものです。
MSS(付属書SL)のSL.5.2の「MSS(Management System Standard)_マネジメントシステム規格」の定義には、「組織が特定の目的を達成するために方針、プロセス及び手順を策定し、それらを体系的に管理するための要求事項又は指針を提供する規格」とあり、その注記1に「有効なマネジメントシステムは、通常、意図した成果を達成するために”Plan-Do-Check-Act”のアプローチを用いた組織のプロセスを管理(managing)することに基づく。」と記述されています。

■ISO31000(リスクマネジメント)との整合

MSS 上位構造(HLS)、MSS 共通テキスト(要求事項)及び共通用語・定義では、規格によってはリスクマネジメントがないものも存在するため、マネジメントシステムの共通テキストにはリスクマネジメントに関する記述がありません。
ISO/IEC 27001:2013では、リスクマネジメントに関してISO31000(リスクマネジメント-原則及び指針)との整合性が図られています。そのため、旧規格にあった多くのISMS固有のテキストの具体的かつ詳細な部分は削除されました。