★ 本記事のテーマ
ISO27001 2022の要求事項を学びましょう。
- ① ISO9001 2015と比較してISO27001 2022を学ぶ
- ② ISO9001 2015要求事項を復習
- ③ ISO27001要求事項を学ぶポイント
① ISO9001 2015と比較してISO27001 2022を学ぶ
マネジメントシステムは共通要素が多い
(JQA引用 https://www.jqa.jp/service_list/management/iso_info/iso_network/vol26/article01/)
実は、
ほとんど内容が同じ
極端に言えば、ISO9001 2015をマスターしていれば、他のマネジメントシステムもそれなりにできてしまう。
なので、
ISO9001 2015を軸にISO27001 2022を
学ぶと、わかりやすいし、
両方の要求事項が手に入る!
ISO9001 2015とISO27001 2022の要求事項を比較
ISO9001 2015とISO27001 2022の要求事項を比較しましょう。下表のとおりです。
| 要求事項 | ISO9001 2015 | ISO27001 | |
| 1 | – | 適用範囲 | 適用範囲 |
| 2 | – | 引用規格 | 引用規格 |
| 3 | – | 用語及び定義 | 用語及び定義 |
| 4 | – | 組織の状況 | 組織の状況 |
| – | 4.1 | 組織及びその状況の理解 | 組織及びその状況の理解 |
| – | 4.2 | 利害関係者のニーズ及び期待の理解 | 利害関係者のニーズ及び期待の理解 |
| – | 4.3 | 品質マネジメントシステムの適用範囲の決定 | 情報セキュリティマネジメントシステムの適用範囲の決定 |
| – | 4.4 | 品質マネジメントシステム及びそのプロセス | 情報セキュリティマネジメントシステム |
| 5 | – | リーダシップ | リーダシップ |
| – | 5.1 | リーダシップ及びコミットメント | リーダシップ及びコミットメント |
| – | 5.2 | 方針 | 方針 |
| – | 5.3 | 組織の役割、責任及び権限 | 組織の役割、責任及び権限 |
| 6 | – | 計画 | 計画策定 |
| – | 6.1 | リスク及び機会への取組み | リスク及び機会に対する活動 |
| – | – | – | 6.1.2 情報セキュリティリスクアセスメント |
| – | – | – | 6.1.3 情報セキュリティリスク対応 |
| – | 6.2 | 品質目標及びそれを達成するための計画策定 | 情報セキュリティ目的及びそれを達成するための計画策定 |
| – | 6.3 | 変更の計画 | 変更の計画策定 |
| 7 | – | 支援 | 支援 |
| – | 7.1 | 資源 | 資源 |
| – | 7.2 | 力量 | 力量 |
| – | 7.3 | 認識 | 認識 |
| – | 7.4 | コミュニケーション | コミュニケーション |
| – | 7.5 | 文書化した情報 | 文書化した情報 |
| 8 | – | 運用 | 運用 |
| – | 8.1 | 運用の計画及び管理 | 運用の計画策定及び管理 |
| – | 8.2 | 製品及びサービスに関する要求事項 | 情報セキュリティリスクアセスメント |
| – | 8.3 | 製品及びサービスの設計・開発 | 情報セキュリティリスク対応 |
| – | 8.4 | 外部から提供されるプロセス、製品及びサービスの管理 | – |
| – | 8.5 | 製造及びサービス提供 | – |
| – | 8.6 | 製品及びサービスのリリース | – |
| – | 8.7 | 不適合なアウトプットの管理 | – |
| 9 | – | パフォーマンス評価 | パフォーマンス評価 |
| – | 9.1 | 監視、測定、分析及び評価 | 監視、測定、分析及び評価 |
| – | 9.2 | 内部監査 | 内部監査 |
| – | 9.3 | マネジメントレビュー | マネジメントレビュー |
| 10 | – | 改善 | 改善 |
| – | 10.1 | 一般 | 継続的改善 |
| – | 10.2 | 不適合及び是正処置 | 不適合及び是正処置 |
| – | 10.3 | 継続的改善 | – |
| 附属書A | – | 管理策(93個) | |
★要求事項の相違点
- ISO9001は品質目標、ISO27001はリスクアセスメントが中心である点
- ISO9001の「8.運用」はプロセスごとに要求事項が異なるが、ISO27001は全プロセス統合している点
- ISO9001は管理策には要求事項はないが、ISO27001は93個の管理策も要求事
3点だけ違うことがわかれば、ISO9001からISO27001へと習得するのが効率がよいと言えます。
ISO9001とISO27001のさらなる相違点
要求事項は大きく3点異なることを解説しました。その他、ISOを組織に運営する中で、気にかけておくべき相違点を解説します。
★相違点
両者の要求事項を運用していくと、以下の違いがあります。
| 項目 | ISO9001 2015 | ISO27001 |
| 原則 | リスク低減も機会向上とマイナス面もプラス面も見る | リスク低減のみ(マイナス面のみ) |
| 要求事項 | 運用(プロセス)によって箇条4~10で除外してよいものがある。 | 汎用的であり、箇条4~10のいかなる要求事項も除外できない |
| 中心軸 | 品質目標が中心 | 情報セキュリティ目標よりリスクアセスメントが軸 |
| 目標項目 | 数値目標が立てやすい(顧客満足、教育、品質トラブル、品質コスト) | 数値目標が立てにくい(事故件数、教育受講率くらいしかない) |
大事なのは、
ISO27001 2022も
解決すべき課題・リスクをコントロールして
あなたの組織のあるべき姿・目標に向かうことです。
そして、
ISO27001 2022は
共通要素を最初に理解して、
個別の個性を知っていくことです。
ISO9001(QMS)もISO27001(ISMS)も両方マスターしましょう。
② ISO9001 2015要求事項を復習
ISO27001のベースとなるISO9001を先に習得しよう!
QCプラネッツはソフトウェアが苦手だからかもしれませんが、
一旦ISO9001から学んだ方がよい。
その理由は、
- ISO9001はISOすべてのマネジメントシステムのベースだから。
- ISO9001とISO27001の共通要素は多いから。
- ISO14001などの他のマネジメントシステムへの応用が効きやすいから。
ISO9001ならQCプラネッツにおかませください!
ISO9001 2015についてはQCプラネッツの人気ブログがあります。たくさんの方に見ていただいております。是非復習しましょう!
 |
【ISO9001 2015がわかる】 ISO9001 2015の要求事項を、暗記に走らず、理解して自分の言葉で説明できるように、実務経験から重要ポイントをわかりやすく解説! |
全要求事項をわかりやすく解説しており、さらに、内部監査・外部審査のポイント、内部監査養成へのポイントもQCプラネッツのサイトでまとめています。
マネジメントシステム全体像
まずは、PDCAサイクルとISOマネジメントシステムとの関連をおさえましょう。
先ほどのリンクの【ISO9001 2015がわかる】記事にあるとおり、PDCAサイクルをしっかりおさえておきましょう。
③ ISO27001要求事項を学ぶポイント
ここまで、読めば、
リスクアセスメントを加えて、
運用の各プロセスを統合すれば
ISO27001になる
とわかります。
知識やノウハウがなくても、
ISO27001は理解できてしまう。
ともいえます。
・専門知識やノウハウがないことが相手にばれてしまう。
・自信もってISO27001が運用できない。
・リスクアセスメント・情報目録が煩雑になりそうで、運用が面倒くさい。
・特に煩雑な「管理策」への対策が不十分で困っている。
あたりが、不安要素になるでしょう。
ISO27001 2022の初心者が習得すべき方法
ISO27001を始めることは特に、
・ソフトウェア、情報セキュリティを始めたばかり。
・管理策への対策。
の2点が、大きなハードルと思います。
(その次は「リスクアセスメント」でしょうが、これはやればいいだけと分かってきます。)
でも、大丈夫です! 1つずつQCプラネッツと解決できます!!
★ソフトウェアが苦手でも大丈夫!
情報セキュリティは基本、カタカナが多いソフトウェア領域で、得意な人もいれば、苦手な人もいます。
情報セキュリティは得意不得意関係なく大事なので、苦手な人はどうやって攻略するか?悩むはずです。
そこで、QCプラネッツがその攻略法を解説しました。関連記事を読んでください。
 |
情報セキュリティは重要とわかるけど、ソフトウェア領域が苦手なあなたに、是非読んでほしい攻略法です! |
★管理策をどうやってものにするか?
ISO9001にはない、「管理策」。要求事項と同様に要求されますが、数が多く、粒度もばらばらで理解や習得が難しいです。
QCプラネッツが編み出した攻略法は、
詳しくは、関連記事を読んでください。
 |
93個もあり、まとめにくい管理策は 要求事項に組み込めば、マスターできる必殺技を伝授します! |
★手元に置いておきたい管理策の運用マニュアル
管理策は暗記不要で、後から見るべきものとわかるはずです。とはいえ、数行しかない管理策から何を注意して要求を満たせばよいかの勘所がわかりませんよね。
また、確認頻度も高いので、
と思い、関連記事を作りました。読んで下さい。
 |
93個あるISO27001 2022管理策を上手に活用できる方法を伝授します! |
ISO27001の攻略方法は、
(1) 要求事項の全体像はISO9001をベースでよく、
(2) ISO27001学習の初期に悩みやすい、
・情報セキュリティの基礎
・管理策への対応
への対処方法がわかり、自信がついたと思います。
あとは、個別の細かいところを1つずつ習得していけば、ISO9001,ISO27001両方マスターできます。
細かいところもQCプラネッツがわかりやすく解説していきます。
まとめ
以上、「ISO27001 2022管理策がわかる!」を解説しました。
- ① ISO9001 2015と比較してISO27001 2022を学ぶ
- ② ISO9001 2015要求事項を復習
- ③ ISO27001要求事項を学ぶポイント