昨年10月にISO/IEC27001の2013年度版要求事項が公開されました。
新バージョンの公開に伴い、該当の認定を取得している企業は2年以内に2013年度版要求事項に対応する必要があります。
当社も認定企業としてバージョンアップの準備を進めているところです。
実は、ISO/IEC27001のバージョンアップで私たちISO運営担当が恐れていることがあります。
それは「リスクアセスメント」手順の変更です。
ご存知の通り、ISO/IEC27001では情報資産を、機密性、可用性、完全性の3つの観点で評価し、各資産のリスク値を算出します。
そして算出したリスク値を、許容範囲内に抑えるためのリスク対策を行います。
その対策が社内規定に反映されており、皆さんは常日頃、そのルールを順守されているはずです。
ここで、リスクアセスメントの手順が変更になることとは、
- 各情報資産のリスク値の再算出
- リスク値の変更に伴いリスク対策を再度策定
- リスク対策を社内規定に反映
- 社員への教育
と芋づる式にやるべきことが発生し、そのインパクトは絶大です。
今回のバージョンアップではリスクアセスメント手順に変更はなかったようなので安心しましたが、私たちISO運営担当をヒヤヒヤさせ続ける部分でもあります。
私もISO運営担当として、審査機関等が開催する2013年度版要求事項の解説セミナーに参加しましたが、どこも客席は満席で、各社の関心の高さがうかがえます。
投稿者プロフィール
- 資産管理と障害対応、ISO(ISMS、ITSMS)の運営。。。といろいろやっています。
最新の投稿
- システム2015年7月31日ラック構成管理ツール
- ISO2015年5月21日マイナンバー制度の対応について
- ISO2014年11月7日ISO審査機関の選定
- ISO2014年9月25日ITIL / ITSM 川柳