ISO 27002 :2013関連情報
いろいろ資料が回ってきた。これからも結構大変だね。こういう大事な資料を継続的に入手できないものだろうか。定期的にサイトを閲覧するしかないかな。頑張っている人がたくさんいるんだ。感謝ですね。
さてと、
要求規格ISO27001附属書(Appendix:A)とガイド規格27002は同じものです。付属書の内容を管理策として採用したら要求規格に準じた扱いが求められますからしっかり理解しておくことが必要ですね。重要。
このISO27002も大幅に見直されているので、ISMSマニュアルを整備している団体では結構影響を受けます。管理策と社内規定を読み替え表で整合を取っているところはその表を見直すことから始めます。ダイレクトに管理策にそって規定類を整備しているところは、暫定的に読み替え表を採用することになるでしょう。
読み替え表は、適用宣言書の形態をとることが多いですが、2013版ではあ、その名前の文書は要求されないかもしれません。単に、採用管理策一覧ぐらいで落ち着くかも。
<変化>
- 6.1.1 Management commitment to information security (ドロップ)大事なことだけど管理策としては馴染まないということかな?
- 6.1.2 Information security co-ordination (ドロップ)6.1.1に同じく?
- 8.1.1 Roles and responsibilities (ドロップ)雇用前に限らないから?
- 11.4 Network security (ドロップ)理由は分からない。ネットワーク管理策として何処かで括るのかな。
- 12.2 Correct processing in application (ドロップ)理由は分かるような気がする。この要求事項をISMSレベルの管理で問題にするのは違和感があるから。せいぜいQMS領域かと。
- Third Party (用語見直し)そもそも何が問題になったのだろう?
- Asset (用語見直し)そもそも何が問題になったのだろう?
- Supplier relationship Management (省立て追加)
- Management of application services on networks (省立て追加)
- 5.1.1 Information security policy document→Detailed policies for information security (変更)ISMSポリシーという言葉は依然残るのだろうか。この5.1.1のポリシー(複数)は本文のポリシーの下位に来るものだということは想像できる。仮に詳細方針あるいは展開方針あるいは個別方針として、何処までカバーしていなければいけないかは今後の検討。今のISMS方針の実態が極めて固定的なこと(一度決めたら殆ど見直されないこと)を踏まえると、こちらは具体的で年度変化を反映させたもの、年度目標を反映させたものであることが求められてしかるべく。
- 8. employees, contractors and third party users→employees and external party users (変更)A,B,C・・とやるよりAとA以外とやった方が紛れが無いということかな。誰にとって重要な変更なんだろう?。
.*.