ISO/IEC DIS 27001が発行されました!
情報セキュリティマネジメントシステム(ISMS)の国際標準であるISO27001のメジャーな改訂が行われます。そのドラフト版としてISO/IEC DIS 27001が発行されました!まだ最終的な投票には時間が掛かりますが、年内にはIS版として発行される予定です!ISO27001認証取得されている組織においては、ISO27001が改訂されてから2年以内に移行監査を受けなければならなく、前もっての準備が必要になります。DIS版の主な改訂ポイントとしては、以下が挙げられます。
■リスクアセスメントの要求事項が大幅に変更されました。(例 資産の特定からリスクの特定に、資産のオーナーからリスクオーナーに)
■リスクアセスメントの実施方法の自由度が増しました。(旧規格は資産を特定し、CIAおよび脆弱性と脅威を評価することを要求していましたが、新規格ではリスクの特定になり具体的な要求事項は少なくなりました。)
■予防処置がなくなりました。(他のISOとの標準規格としてのハイレベルストラクチャ採用)
■セキュリティ目標達成、コミュニケーション、監視測定において具体的な計画が要求されています。
■付属書の詳細管理策は、グルーピング(管理目的)の変更と所属グループの大幅な見直しがあり、いくつかの管理策は削除され、また新たに追加された管理策があります。
まだ、最終的な改訂にはなっていませんが、FDIS版が発行されたタイミングで説明会等を開き、情報を提供して行きたいと思います。