第2回 ISMSの進め方（準備・計画〜実施編）：いまさら聞けないISMS（1/3 ページ）

ISMS認証について、2013年の改訂内容を踏まえた流れを解説していきます。今回は取得までの流れの前半にあたる方針や体制の準備から対応実施について紹介します。

[持田広志，ITmedia]

※編注：本稿で述べられたものは、執筆者の私見であり、執筆者が所属する法人の意見ではありません。

シリーズ記事

• 第1回　いま一度ISMSとは？　メリットとデメリット

2013年の改定ポイント、2005年版との変更点

　「ISO」(国際標準化機構）が定めている規格には、さまざまなものがあります。例えば、「ISO14001」は環境マネジメントシステムに関する規格です。これらマネジメントシステム規格の整合化をはかるために、ISOにおいて上位構造の共通テキストおよび共通用語、定義が開発されました。これに伴い、ISMS認証の基準となる「ISO/IEC27001」においても、こうした共通用語や定義に基づいて改訂作業が進められることとなりました。そして、2013年の改訂で要求事項が共通テキストに包含されるようになりました。

　この改訂の流れの中で、リスクベースの考え方が導入されています。2005年版ではリスクの分析のために、「情報資産」を洗い出し、「情報資産」ごとのリスクを洗い出すとともに、それぞれの資産の管理者を決めるという流れでリスクを分析していました。

　2013年版では組織で所有する「情報」を特定し、それぞれの「情報」に関するリスクを特定し、リスクの管理者を決めるという流れでリスクを分析するように変わっています。これはネットワーク上やクラウド上での情報管理が一般的になってきたため、紙や記録媒体などの特定の情報資産をベースにリスクを考えることが実態になじまなくなってきているということも影響しています。

　以下の対応表に、2005年版から2013年版への変更を記載しています。要求事項のレベル（全24項目）で、追加項目が4つ、一部変更になった項目が7つあります。

ISMSの2005年版から2013年版の変更点-1

ISMSの2005年版から2013年版の変更点-2

ISMSの2005年版から2013年版の変更点-3