第15回 ISMS(ISO27001)改訂
いつもお世話になっております。情報セキュリティ担当のJです。
今回は、「ISMS改訂」をテーマに書いてみたいと思います。
弊社では、2008年11月に、ISO27001:2005年版にて、ISMS認証を取得し、運用して
来ましたが、2013年10月1日に、ISO27001:2013年版が発行され、今年度中の移行を
目標として、文書や体制の見直しを進めております。
今回改訂されたISO27001:2013年版ですが、2005年版に比べると、より厳しく、現実に
即した形への変更となっています。
いくつか例を挙げてみますと、
「パスワード」から「秘密認証情報」へ
従来は、個人を認証する情報として「パスワード」が主流でしたが、現在は、
パスワード以外にも多数の「認証情報」が出てきていますので、それらが
すべて管理の対象となりました。
「ウイルス対策」から「マルウェア対策」へ
「ウイルス」や「マイクロコード」と言った表記が廃止され、「マルウェア」
(悪意のあるプログラムの総称)になり、管理すべき対象が広くなりました。
「イベントログを取得」から「イベントログの取得とレビュー」へ
サーバや機器のログを取得、保管することは変わりませんが、今回の改訂で
「レビューする」(ログを監視、評価する)が加わり、ログの監視が強化されました。
「システム開発や構築の際に、セキュリティの規則や原則を確立、実施」へ
従来はあまり明確な規則がありませんでしたが、システム開発やシステム
構築の際には、セキュリティ規則や原則を適用し、開発期間中のセキュリティ
機能試験の項目が追加されました。
「第三者が提供するサービスの管理」から「供給者のサービス提供の管理」へ
意味合い的には同じですが、「供給者」という表記に変わり、クラウドサービスなども
意識した内容に変更されています。
...など、多くの項目で、管理範囲の拡大とセキュリティの強化が挙げられています。
また、ISO共通テキストが採用され、取得企業ごとに、ISMSの意図した成果、外部及び
内部の課題、情報セキュリティ計画、パフォーマンス管理などを策定することになっており、
より具体的な対策を求められることになります。
次回は、「多発するサイバー攻撃」をテーマに書いてみたいと思います。
情報セキュリティ管理者:J