ISO / IEC 27001：2013への移行。 翻訳の微妙さだけでなく

こんにちは、Habr！

2013年9月25日、更新された標準ISO / IEC 27001：2013「情報セキュリティ管理システム。 要件」（情報セキュリティ管理システム-要件）、2005年の同様の標準を置き換えました。 私は移行ガイドを手に入れました。私の知識を整理し、興味のある人と共有するために、この短いメモを整理することにしました。

私たちはどうですか？

それ自体では、27001への準拠に関する監査に合格しても、ビジネスに情報セキュリティ部門の誇りを与えるだけではありません（間違っている場合は修正してください）。 ただし、PCI DSSなどの重要な監査の通過を大幅に促進できます。

しかし、国際ビジネスを営む大企業は誰もが切望する地殻を手に入れようとしているように思えます。

用語の変更

標準27001：2013はグループ31000に依存しています（リスク評価）。

このバージョンでは、「資産」という用語は表示されなくなります。 代わりに、「情報」と「サービス」のより広い概念が使用されます。

誰かが言うだろう：「どうして？！」 しかし、それは論理的です。保護する必要があるすべての情報が会社の資産であるとは限りません（たとえば、ロバート清崎が使用するという意味で）。

「機会」という用語（セクション6.1.1）は、改善の可能性のある分野として追加されました。これは、さまざまなリスクを排除するための一連の対策を含む幅広い用語です。

たとえば、ソフトウェアを改善する機会には、特定のバグの修正、アーキテクチャの変更、そして場合によっては、合意レベルでこのソフトウェアを提供するベンダーへの影響の何らかの尺度が含まれます。

「アクション」は「目的」に変わりました-これは、グローバルな目標（「目標」）とは対照的に、具体的かつ測定可能な現在の目標です。



それ以外は、すべて同じです。 情報セキュリティとは、機密性、完全性、アクセシビリティを確保することを意味し、リスク管理はPlan-Do-Check-Act方式に従って実行されます。

ポイントで

いくつかのアイテムは完全に新しく、いくつかはサブアイテムを追加しました。 主なものを引用します（同時に翻訳します）。



条項6.1.1 ：

ISMSの計画中に、組織はリスクと機会を特定する必要があります。

a）ISMSがそれから期待される結果を達成できることの確認。

b）望ましくない影響の防止または削減。 そして

c）継続的な改善の達成。



6.1.2項は、組織内でリスク評価の方法論を形式化する必要があるという事実に要約されています。 さらに、リスクを特定する場合、それぞれに所有者を割り当てる必要があります。これは新しい要件です[ 6.1.2 c）2） ]。



セクション6.2 ：

情報セキュリティの機会は次のとおりです。

b）測定可能（該当する場合）。

c）該当するIS要件と、リスク評価および処理の結果を考慮します。

IS機能を達成するための計画を立てる際、組織は以下を決定する必要があります。

f）何をする必要があるか。

g）必要なリソース。

h）誰が責任を負うか。

i）いつ終了するか。 そして

j）結果の評価方法。



セクション7.4相互作用-新しい段落。

組織は、以下を含むISMSに関連する内部および外部の相互作用の必要性を決定するものとします。

a）何について

b）いつ

c）誰と;

d）誰;

e）どういう意味か。

監査人は、たとえば、Outlookカレンダーのエントリを表示できます。 通常、それらにはすべての必須リストがあります。

条項9.1監視、測定、分析、評価

組織は以下を決定するものとします：

c）および

b）誰が監視および測定するか。

f）誰が結果を分析し評価するか。



9.3節 （マネジメントレビュー）では、マネジメントがISMSを毎年レビューするという要件を除外しています。



10.1項の不適合と是正措置

不一致が発見された場合、組織は以下を行うものとします。

a）コンプライアンス違反への対応、および該当する場合：

1）制御および調整するための対策を講じる。 そして

2）結果に取り組む。

e）必要に応じて、ISMSを修正します。

組織は、文書化された情報を以下の証拠として保持するものとします。

f）不適合の性質とその後の措置、および

g）是正処置の結果。

あとがき

標準に関するより一般的な情報は、Wikiからのリンクにあります。

このメモが誰かに役立つとうれしいです。