ISO27001が2022年10月に改訂されました。認証取得すみの企業の方々に、移行審査対応をコンサルティングします。
事業単位にISMSどこまで適用させるか見直しを行います。従来から、「事業所」「住所」で定義されているようでしたら、業務機能としてどこまでを対象とするかを明確にします。この部分では、対顧客、関係会社等該当する事業で関わりを持つ利害関係者と境界を示します
要求事項を確認します
顧客或いは、法的な要求事項を明確にします。外部利害関係者を中心にリスクとなり得る要求事項をまとめます
セキュリティ目的を確認
各事業として実現するための事業目的を確認し、事業目的達成のためのセキュリティ目的を設定します
情報セキュリティリスクの見直し
セキュリティ目的から、従来の情報資産に対するセキュリティリスクのマッチングを行います。この段階で、できれば情報資産はグループ化して、事業にとって必要な情報という観点で整理します
詳細管理策見直し
新・旧の詳細管理策の見直しと前段のセキュリティリスクの見直しに伴って、詳細管理策評価表の作成と新しい適用宣言書を作成します
規程類差分評価
新・旧の規格の違いを自社規程類に反映させます。
マネジメントサイクル実行・確認
従来のマネジメントサイクルと同じ流れで、改定版規定、手順書での社員教育、内部監査、マネジメントレビューを実施します
以下、改訂に伴う作業の参考として。
新規格はISO31000リスクマネジメント規格がベースに取り入れられています。
このリスクマネジメントは今後、ISO14001、ISO9001といった他のマネジメントシステム改訂でも採用されます。
なによりも、事業に対するリスクを整理する上でこの考え方を取り入れるのは非常に重要なことです。
※ISO31000でのリスクの定義は、「目的に対する不確かさ」ということで、必ずしもマイナス面だけではありません。ISO27001ではプラス側面を「機会」という言葉で表現しています。
※リスクの考え方が目的に対する不確かさである以上、目的をハッキリさせなければなりません。これが改訂版のもっとも大きな追加となっている「セキュリティ目的」になります。