ISO27001:2013移行について
昨年から、ISO27001:2013移行審査に参加していますが、いくつかの指摘事項が続いています!
特に、以下の要求事項については、文書化して運用の実績(エビデンス)が必要になります。
・4.1 [組織及びその状況の理解]
内部及び外部の課題は決定されISMSのインプットとして考慮されていたか?
・4.2 [利害関係者のニーズ及び期待の理解]
関連する利害関係者とその要求事項はISMSのインプットとして決定されていたか?
・6.2 [情報セキュリティ目的及びそれを達成するための計画]
情報セキュリティ目的のために以下が計画されているか?
f) 実施事項、g) 必要な資源、h) 責任者、i) 達成期限、j) 結果の評価方法
・7.2 [力量]
ISO27001:2013に関する教育が行われていたか?
特に内部監査員研修の差分教育
・7.4 [コミュニケーション]
ISMSに関する内部及び外部のコミュニケーションは決定されていたか?
・9.1 [監視,測定,分析及び評価]
測定・監視のために以下が定められているか?
責任(誰が)、いつ監視・測定するか、結果の分析と評価を誰がいつ
・9.2 [内部監査]
ISO27001:2013の要求事項のチェックが行われていたか?
・9.3 [マネジメントレビュー]
マネジメントレビューのインプット項目が見直されていたか?
・10.1 [不適合及び是正処置]
是正処置のプロセスが見直されていたか?
また、新規管理策に対する対策が必要です!
・A.6.1 内部組織
・A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
・A.14.2 開発及びサポートプロセスにおけるセキュリティ
・A.14.2.1 セキュリティに配慮した開発のための方針
・A.14.2.5 セキュリティに配慮したシステム構築の原則
・A.14.2.6 セキュリティに配慮した開発環境
・A.14.2.8 システムセキュリティの試験
・A.15.1 供給者関係における情報セキュリティ
・A.15.1.1 供給者関係のための情報セキュリティの方針
・A.15.1.3 ICTサプライチェーン
・A.16.1 情報セキュリティインシデントの管理及びその改善
・A.16.1.4 情報セキュリティ事象の評価及び決定
・A.16.1.5 情報セキュリティインシデントへの対応
・A.17.2 冗長性
・A.17.2.1 情報処理施設の可用性
以上、ISO27001:2013移行審査の前に、見直しをお願いします!!!