ISOマネジメントシステムは性善説か性悪説か
ISO27001
ISO27001:2013に版が変わり、2008版から移行しました。
ISO27001:2013版は他のマネジメントシステムに先立って新しい構造になりました。
当該規格に基づく会社の規程類の変更しなければなりません。
認証団体等の講習会を受講して改定に着手している法人が多い。
そこで説明されることは、大きな変更は無い、項目の対比表による説明も可である、若干力作業によって対処できる、、、
しかし、元の規程類が十分こなされているか、作業者の知識や経験の多寡はどうかによって色々状況は変わってくる。
そこで、筆者は、貧困な経験を恥じず、今回作業に役立った資料を公開いたします。
規格の構造は理解しましょう
上位構造との比較、ISO9001,ISO14001も同じ構成になります。
資料のXXXをそれぞれの規格に変更すればそれぞれの規格になります。規格の構造ダウンロード
ISMSマニュアルは作りましょう
老舗QMS(ISO9001)の時代から、品質マニュアル、QMSマニュアル、規格の同じ章立てを持った規程を先ず作成しました。
多くの企業が作用して、一番一般的な流儀です。ISMSについても同様です。
それ故に、ISO27001:2013版になると章立てが変わるので全部書き換えになります。
この書き換えをすることによってISO27001:2013版を理解することになるし、旧版と大きな差がないことに気付きます。
多くのISMSマニュアルは規格の章立てを採用しているので情報交換や知識交流にも役立ちます。
有料で配付するほどのものではありません。
準備中です。
リスクアセスメント
ISO27001:2013版へ移行。ISO27001の実装は、①社内規程類整備、②リスクアセスメント、③社内周知・教育・実施を乗り越えなくてはならない。段階としては規格の理解、規格の咀嚼が先行するが、上記の三つのうち②リスクアセスメントは手間がかかる。JIPDEC発行のリスクアセスメントは役立つが、さて実際はどうしたらよいか。
一番の面倒は「脅威・脆弱性分析」です。規格には、その方法論を示せとまで書いてあります。
定番では、情報資産台帳を作り、情報資産の分類(電子、紙、ハードウェア、ソフトウェア、サービス)単位で、「脅威・脆弱性分析」することになる。ここで脅威・脆弱性リストを用いることになる。
さて、脅威・脆弱性リストはどこにあるのだろうか?、出版本?、ネット検索?、無いです。
規格を実装する人々は私も含め、そんなにプロではありません。たいていの場合、コンサルから提供されたテンプレートを使ったり、仲間から提供を受けたりします。
ISO27001を実施し、2013年版に移行した経験からいうと、皆が困る、肝心なものは何処にも無い、変ですね。
これは、皆が必要とする公共財ではないか。公共財は公開されて然るべきだと思います。
しかしながら、どの様にお使いになるか知りたいものです。サイトリニュアルに際して脅威脆弱性リストも更新。事例のみ掲載することにしました。
脅威・脆弱性リストの事例。
詳細管理策(附属書A)
準備中。
パフォーマンス評価
準備中。
インシデント管理
準備中。
プロジェクト管理との関係
準備中。
2008年版と2013年版対比
準備中。