第15回 ISMS(ISO27001)改訂

いつもお世話になっております。情報セキュリティ担当のJです。
今回は、「ISMS改訂」をテーマに書いてみたいと思います。

弊社では、2008年11月に、ISO27001:2005年版にて、ISMS認証を取得し、運用して
来ましたが、2013年10月1日に、ISO27001:2013年版が発行され、今年度中の移行を
目標として、文書や体制の見直しを進めております。

今回改訂されたISO27001:2013年版ですが、2005年版に比べると、より厳しく、現実に
即した形への変更
となっています。

いくつか例を挙げてみますと、

「パスワード」から「秘密認証情報」へ
    従来は、個人を認証する情報として「パスワード」が主流でしたが、現在は、
    パスワード以外にも多数の「認証情報」が出てきていますので、それらが
    すべて管理の対象となりました。

「ウイルス対策」から「マルウェア対策」へ
    「ウイルス」や「マイクロコード」と言った表記が廃止され、「マルウェア」
    (悪意のあるプログラムの総称)になり、管理すべき対象が広くなりました。

「イベントログを取得」から「イベントログの取得とレビュー」へ
    サーバや機器のログを取得、保管することは変わりませんが、今回の改訂で
    「レビューする」(ログを監視、評価する)が加わり、ログの監視が強化されました。

「システム開発や構築の際に、セキュリティの規則や原則を確立、実施」へ
    従来はあまり明確な規則がありませんでしたが、システム開発やシステム
    構築の際には、セキュリティ規則や原則を適用し、開発期間中のセキュリティ
    機能試験の項目が追加されました。

「第三者が提供するサービスの管理」から「供給者のサービス提供の管理」へ
    意味合い的には同じですが、「供給者」という表記に変わり、クラウドサービスなども
    意識した内容に変更されています。

...など、多くの項目で、管理範囲の拡大セキュリティの強化が挙げられています。

また、ISO共通テキストが採用され、取得企業ごとに、ISMSの意図した成果、外部及び
内部の課題、情報セキュリティ計画、パフォーマンス管理
などを策定することになっており、
より具体的な対策を求められることになります。

次回は、「多発するサイバー攻撃」をテーマに書いてみたいと思います。

情報セキュリティ管理者:J

お問い合わせ方法について

お電話・FAXでのお問い合わせ

024-963-2150 024-959-1111
受付時間 9:00~18:00(土・日・祝祭日、弊社規定の休業日を除きます)

オンラインからのお問い合わせ