ISO/IEC 27001の改定まで後2年?
改定の話は少しずつ進んでいるようだ。大きく内容が変わるものではないが、今までの規格にあった分かり難さを幾分解消するものになるような気がする。但し、構造は大幅に変わるから、規格に合わせて文書を組み上げてきた組織では、過渡期は大変な思いをするだろう。
加えて、27000シリーズが広がっていくので付いて行くのも容易でない。
そうは言っても、要求規格は27001だけで、残りは全てガイドラインだからその点はISMSに携わる人には助かるというか、優先順位を付けて作業にかかれるかも。一番誰もが気にする27001の改定はWEBを探してもこれだと言うものにお目にかかれない。
今のところは2013年の最終リリースが見込まれているようだ。「ISO 27001:2013」
断片的に飛び交う情報だけでも分かる範囲で並べれば何か見えるかもしれない。
.*.
章立てが変わる。下は適当に拾っているので間違っていると思うが、継続的に眺めて行きたい。
1. Introduction
2. Normative References
3. Terms and Definitions
4. Context Of The Organization
5. Leadership
6. Planning
7. Support
8. Operation
9. Performance Evaluation
10. Improvement
.*.
ISO27001:2013リリースの目的?
- 他の9規格とのハーモナイズ。9000, 14000, 20000など。用語の整合化。ここにもっとも時間が割かれたようだ。それは当然でしょう。考え方の違いなど背景にあるもののギャップが埋まらないと言葉は正されない。
- 章立ての変更
- 章立ては変わるが内容は80%以上は現行のものと同じらしい。リスクアセスメントは殆ど同じらしい。と言うことは詳細リスクアセスメントとする現行で行くんだろう。誤魔化しのアセスメントで済ますコンサルはそろそろやめては如何かな。
- リスク対応はISO31000との調整が図れる。ISO31000はリスク管理に関する規範規格かな。
- 適用宣言書(Statement Of Applicability)がドロップってどういうことだろう。そういう固定的な文書を要求することは止めるということかな。しかし相互参照と整合化は要求されるらしい。と言うことは適用宣言書と言う名前はつけなくても良いが、組織が用意した(用意する)各施策と付属書の管理策との連関は明確であることが要求されるようだ。まあ、現物を見ないと分かりませんが。
- PDCA(Plan-Do-Check-Action)モデルもドロップする。規格の冒頭に入っている図がなくなるということ。PDCAという言い方もやめるのか。継続的改善は依然要求されるが、改善プロセスを一律に決める必要は無いだろうと言うことでしょう。PDCAも大きな回り方と小さい回り方が交錯するので理念としては理解できても何処まで細分化してもキリが無いものだ。ついでに加えるなら、プランとアクションの部分は重なるので継続的に見る場合はPDCAとすることは返って難しくなるものだ。
- 外部委託に関するセクションが新たに設定されると言う情報もサイト上にあるがはっきりしない。委託してもISMSの責任を回避できるものではないと言う主旨のものか。
.*.
