ISO/IEC 27001:2013発行について

ISO/IEC FDIS 27001が2013年7月3日に発行されました。
FDIS(最終草案)の投票終了は 2013年9月3日です。この後IS(正式規格)発行となります。
つまり、IS発行時期は、2013/10頃のようです。
主要な変更は、いくつか挙げられますが、
■Annex SLの上位構造(HLS)採用していること。
■リスクアセスメントの要求事項が大幅に変更され、リスクアセスメントの実施方法の自由度が増したこと。(旧規格は資産を特定し、C(機密性)I(完全性)A(可用性)および脅威と脆弱性を評価することを要求していたが、新規格ではリスクの特定になり具体的な要求事項は少なくなった。)
■予防処置の条項がなくなった。(Annex SLの共通構造採用)
■セキュリティ目標達成、コミュニケーション、監視測定において具体的な計画が要求されていること。
■Annex A (附属書)の管理策は、グルーピング(管理目的)の変更と所属グループの大幅な見直しがあり、いくつかの管理策は項目としては削除され、また新たに追加された管理策があり、グルーピングによって、よりわかりやすく整理された印象となっていること。
等々、でしょうか!?
どちらにしても、年内にはISO/IEC 27001:2013が発行される見込みですので、規格の移行への準備が必要です!

コメントは受け付けていません。

Categories
Bookmarks
Search
Archive