最近、全国のISMS担当者の皆様を悩ませていることといえば…そう！ISMSの規格改訂ですね。
LRMにおいても、「規格が変わったことによってどんな影響があるのか？」「実際にどういう対応を行うべきか？」といったご質問が多く寄せられるようになりました。

では、「規格改訂」とは、具体的にどういうことでしょうか？

正式名称が変わりました

これまで「ISMS」や「ISO27001」と呼んでいた担当者の方も多いと思いますが、今回の規格改訂を機会に正式名称を覚えてしまいましょう。
今までの規格は「ISO/IEC27001：2005(JIS Q 27001：2006)」ですが、今回の規格改定により、正式名称が「ISO/IEC27001：2013(JIS Q 27001：2014)」へ変更されます。
公的機関へ提出する書類などで表記を誤ることがないよう注意していきましょう。

本文構成が変わりました

規格改定前のISMS本文は、以下の項目で構成されていました。

1. 0.序文
2. 1.適用範囲
3. 2.引用規格
4. 3.用語及び定義
5. 4.情報セキュリティマネジメントシステム
6. 5.経営陣の責任
7. 6.ISMSの内部監査
8. 7.ISMSのマネジメントレビュー
9. 8.ISMSの改善、附属書A

0から8までの合計9項目ですね。それが、今回の改訂では下記のように変更されています。

1. 0.序文
2. 1.適用範囲
3. 2.引用規格
4. 3.用語及び定義
5. 4.組織の状況
6. 5.リーダーシップ
7. 6.計画
8. 7.支援
9. 8.運用
10. 9.パフォーマンス評価
11. 10.改善、附属書A

御覧頂いた通り、0から10までの合計11項目に増加しています。
さらに、上記では「4.1」などの中項目は省略していますので、合計で7項目ほど、規格改定により項目が追加されていると言えます。
これは、今回の企画改訂から、マネジメントシステム企画の標準化ガイドラインというものを採用しており、その他の企画なども含めて骨組みを近づけていこうという意図によるものです。

附属書Aが変わりました

変更の概略としては本文構成と同じで、2005年版の附属書Aを組み替えて、さらに新規の項目を追加しているイメージで捉えてください。
2005年版における管理策は133個ですが、2013年版では114個となっています。
「あれ？減っている？」と感じた方、ちょっと待って下さい。
管理策の数は減っていますが、実施すべき内容そのものが減っている訳ではなく、実際の中身としてはむしろ増えています。
一部の項目がまとめられたり、逆に複数項目に分散したりといった組み換えにより、ボリュームとしては減少したように見えても、その実、新しく10個の管理策が追加されており、これらに関しては新規での検討を求められます。

パズルをイメージしてください

規格の変更についてのご質問を頂く機会も増えてきていますが、LRMでは「パズルのようなイメージ」と説明することが多いです。
元々の規格をいったんバラバラにして、いくつかの項目を分散させたり、複数の項目を一つにまとめたりした後に、2013年版特有の新規項目を追加して、新たに全体像を組み直す、といったイメージです。
せっかく一度作り上げた2005年版のISMSを組み直すということで、作業量が増えることもあり、ネガティブなイメージをお持ちの方もいらっしゃるでしょう。
ですが、今回の規格改訂を「ネガティブに捉えるのではなく、パズルを組み直すイメージで、会社にとってより有意義なマネジメントシステムとなるよう、規格改訂に対してポジティブに取り組んでいきましょう。