Top / 4. 組織の状況
HTML convert time: 0.009 sec.

4. 組織の状況

Last-modified: 2017-01-03 (火) 19:02:07

ISO27001 > ISO27001:2013 > 4. 組織の状況 > 5. リーダーシップ > 6. 計画 > 7. 支援 > 8. 運用 > 9. パフォーマンス評価 > 10. 改善 > A.5 情報セキュリティのための方針群 > A.6 情報セキュリティのための組織 > A.7 人的資源のセキュリティ > A.8 資産の管理 > A.9 アクセス制御 > A.10 暗号 > A.11 物理的及び環境的セキュリティ > A.12 運用のセキュリティ > A.13 通信のセキュリティ > A.14 システムの取得、開発及び保守 > A.15 供給者関係 > A.16 情報セキュリティインシデント管理 > A.17 事業継続マネジメントにおける情報セキュリティの側面 > A.18 順守 > 情報セキュリティ用語

4. 組織の状況

「4.1 組織及びその状況の理解」

組織の外部及び内部の課題を決定する要求事項が記載されており、これは、2005年版の予防処置に対応する要求事項といわれています。

<< 予防処置の概念 >>

ISO 27001「4.1組織及びその状況の理解」では、「組織は、組織の目的に関連し、かつ、・・・決定しなければならない 」とあります。
一方、 ISO/IEC 27001:2005では、「組織は、ISMSの要求事項に対する不適合の発 生を予防するために、起こり得る不適合の原因を除去する処置を決定しなければならない。とられる予防処置は、起こり得る問題の影響に見合ったものでなければならない」としています。
このことは、マネジメントシステムの目的は、予防的なツールの役割があり、事業目的に関連し、意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を広い観点で評価をすることです。

さらに「6.1 リスク及び機会に対処する活動」においても、広い観点でマネジメントシステムが、その意図した成果を達成することに取り組むことである。これらの二つの要求事項はセットで予防処置の概念を網羅しているものと考えられます。

「4.2 利害関係者のニーズ及び期待の理解」

利害関係者の要求事項を把握することが明確化することが要求事項として用意されており、この要求事項には、法的、規制要求事項、契約上の義務も含めても良いとされています。

「4.3 情報セキュリティマネジメントシステムの適用範囲の決定」

適用範囲の決定には、

  • 「4.1 外部及び内部の課題」 と
  • 「4.2 利害関係者のニーズ及び期待の理解」
    「自社の活動と他の組織が行う活動との接点・ 依存関係」を考慮することとされています。

2005 年版の 適用範囲の要求事項である「4.2.1 事業・組織・所在地・資産・技術の特徴の見地から,ISMS の適用範囲及び境界を定義する」は削除されています。

「4.1 外部及び内部の課題」では、SWOT分析などの手法を用いて行うこともあり得ます。

「4.4 情報セキュリティマネジメントシステム」

2005 年版の「4.1 一般要求事項」の部分に対応しますが、PDCA モデル図 の参照は削除されました。








情報セキュリティマネジメントシステム コンサルティング

2013年版への移行支援コンサルティング、2013年版での新規認証取得支援のコンサルティングを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。

   お問合せは、ここをクリック→お問合せ