ISO27001とISMS認証基準との違い、差異を日本情報処理開発協会(JIPDEC)発表資料及び開催セミナー内容に基づき解説致します。
ISO27001とISMS
の違い、差異を日本情報処理開発協会(JIPDEC)発表より、抜粋、説明させて頂きます。
HPのご案内
・
TOPページ
・
サイトマップ
開催セミナー案内
・
太陽光セミナー案内
ISO規格解説
・
ISOとは
ISO最新情報・TOPICS
・
ISO最新ニュース&TOPICS
・
ISO27001移行計画
・
ISO27001とISMSの差異
・
日本版SOX法とは
・
ISO14001:2004年版改訂
・
RoHS指令とは
・
REACHとは
・
VOC規制とは
・
優良性評価制度とは
・
労働安全衛生法とは
・
平成18年改正のポイント
SaaS(webIC)
・
SaaSシステムとは
・
webIC(文書管理)
・
ワークフロー
・
検索機能
・
webIC操作説明
・
マネジメントシステム
・
webICお問合せフォーム
会社案内
・
会社概要
・
グループ沿革
・
拠点案内
・
プライバシーポリシー
求人・採用情報
・
募集一覧
リンク集
・
外部のホームページへリンク
トップページ
>ISO27001/ISMSについて
■ ISO27001とISMS認証基準との比較
日本情報処理開発協会(JIPDEC)主催で行われた「ISMS適合性評価制度に関する説明会」(2005年11月19日)の内容に基づき、ISO27001とISMS認証制度の比較についてお伝え致します。
◆ ISO27001の基本方針
結論としては、大きな変更はありませんが、
・
より形骸化がおきないように
・
目標、基本方針に沿った運営がなされるように
という目的のために、従来あいまいであったり、記述がなかった部分について明確化された点があります。よって、項目の追加削除があったとしても、実際の情報セキュリティシステム構築・運営には、従来のISMS認証と変更がないというものも多くあります。
◆ ISO9001・ISO14001との整合性
ISO9001やISO14001と用語や構成について 整合性を計ることから、内部監査の章立てが追加されている等の追加変更項目等があります。こちらも上記同様、基本的には構築運用に当っての変更点にはなりません。
■ ISO27001とISMS認証の差分ポイント解説
◆ 「ISMS基本方針」の策定
情報セキュリティ基本方針の上位の概念として、ISMS基本方針の設定が求められています。これは情報セキュリティの経営上の位置づけをより明確化するためのものになります。但し、実際のシステム構築にあたっては、ISMS基本方針と情報セキュリティ基本方針は、別個に規定せずとも今までの基本方針の中に両者が含まれていれば問題はありません。
◆ 管理策導入に当っての有効性を評価する手法の設定
測定方法を設定し、結果についての妥当性、有効性の評価を行うことになります。これがマネジメントレビュー時の経営者へのインプット情報となります。情報セキュリティシステムの効果の把握と運用の改善を行うためのマネジメントレビューにおいて、経営者の判断を示すアウトプットの為の資料として、この「測定」という仕組みが必要になってきます。
◆ 「セキュリティ計画」という項目の追加
ISMS適合性評価制度におけるリスクアセスメントの要素に基づく「リスク対応計画」に加え、ISO27001では「セキュリティ計画」の策定が必要になります。
「セキュリティ計画」とは、法令施行や企業の環境の変化などの突発的な外的要因について、対応が必要な場合についての計画になります。
