前回はISO27001の改訂について「新しく追加された項目について」の解説をしました。
どんな新規追加管理策があるのかを把握できたところで、気になるのは「どうやって改訂作業を進めていくか」ですよね。
やみくもに進めるのではなく、全体像をみてからの作業は効率性だけでなく、スムーズな審査通過にも繋がります。
そこで、ISMS(ISO27001)改訂シリーズ最後となる第3部は【改訂の流れ】について解説していきます。
目次
| 修正が必須の文書 | 変更概要 |
| ISMSマニュアル | 規格本文の変更内容を反映 |
| 適用宣言書 | 全面的見直し |
| 情報セキュリティ手順書 | 新規管理策追加/構成見直し |
| 内部監査チェックリスト | 変更内容を反映/新規管理策追加 |
| マネジメントレビュー報告書 | 考慮事項の追加 |
| ISMS文書一覧表 | 各文書の見直し結果反映 |
| 修正が必要な文書 | 変更概要 |
| 情報セキュリティ継続計画書 情報セキュリティ継続報告書 | 5.30事業継続のためのICTの備えを考慮 |
| 運用チェックリスト | 必要に応じ、新規項目を追加 |
| リスクアセスメント報告書 リスク対応計画 | 必要にお王子、新規管理策追加 |
| 委託先審査票 | 5.23クラウドサービスの利用における情報セキュリティを考慮 |
| ISMSハンドブック | 必要に応じ、新規項目を追加 |
| 年間計画表 | 必要に応じ、新規項目を追加 |
ISO/IEC27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項
当組織は、次の事項を満たす情報セキュリティ目的を関連する部門及び階層において設定し、「有効性評価表」に記録する。
・・・
d)監視する
・・・
・進捗を確認→d)監視が加わる
・どのように達成するかについての具体的な事項が明記された
g)文書化した情報として利用可能な状態にする。
当組織は、ISMSの変更を行う場合、計画的な方法で行う。
また、計画の実施に関しては、以下を考慮する。
・・・
c)外部から提供されるプロセス、製品又はサービスを明確にし、確実に管理しなければならない。
当組織のISMSが次の状況にあるか否かに関する情報をトップマネジメントに提供するために内部監査を実施する。
a)次の事項に適合している。
1)ISMSに関して、当組織が規定した要求事項
2)ISO/IEC27001:2022規格の要求事項
b)有効に実行され、維持されている
旧:10.1 不適合及び是正処置
10.2 継続的改善
新:10.1 継続的改善
10.2 不適合及び是正処置
規格改定対応にあたり、ISO/IEC27001:2022では、以下の3つを要求しています。
※未実施の場合は、審査で「不適合」になる可能性があります。
(8.2 情報セキュリティリスクアセスメント)
(6.1.3 情報セキュリティリスク対応)
(5.35 情報セキュリティの独立したレビュー)
ISO27001の改訂シリーズ、最後となる第三部は「改訂の流れ」について解説しました。
見落としがちな年数の修正や、ニュアンスや内容の変更など様々です。
どの文書の、どの部分の修正が必要なのか、大まかな改訂内容とながれを予め把握しておくことで、スムーズな改訂作業にお役立ていただければ幸いです。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。