この記事では、6clicks を使って ISO/IEC 27001:2013 から 2022 へ移行するための6つのステップを説明します。
内容:
- ISO/IEC 27001:2022 権威文書のダウンロード
- ISO/IEC 27001:2013 から 2022 へのマッピング
- ISO/IEC 27001:2013 アセスメントのピボット
- コントロールセットを ISO/IEC 27001:2022 に更新
- 新しい適用宣言書(Statement of Applicability)の準備
- 通常業務への復帰
ご注意: このガイドの前提条件として、6clicks 環境に既存の ISO/IEC 27001:2013 コンテンツとデータがあり、かつ Growth または Enterprise プランをご利用中である必要があります。
このガイドおよびその関連ステップは、ユーザーごとに異なる場合があり、6clicks 上のデータ状況に依存します。
どこから始めればよいかわからない場合は、ISMS 実装のエキスパートガイドをご覧ください。
この記事では、6clicks において ISO 27001:2013 から 2022 への移行ステップを説明します。特定のモジュールに関する詳細なガイダンスについては、記事内の関連リンクをご参照ください。
ステップ 1: ISO/IEC 27001:2022 権威文書のダウンロード
まず、最新の ISO/IEC 27001:2022 権威文書を当社のコンテンツライブラリからダウンロードしてください。文書には ISO 27001:2022 の必須要件が含まれており、改訂された標準の実装および情報セキュリティのコンプライアンス維持に役立ちます。
コンテンツライブラリに移動し、ISO/IEC 27001:2022 を検索して、権威文書を選択してください。
画像上をクリックしてから コンテンツを追加 をクリックしてください。コンテンツがコンプライアンスモジュールに読み込まれると、アプリ内およびメールで通知が届きます。
6clicks のコンテンツライブラリからのコンテンツ追加の詳細については、こちらをご覧ください。
ステップ 2: ISO/IEC 27001:2013 から 2022 へのマッピング
両バージョンの ISO/IEC 27001 が利用可能になったので、Hailey AI マッピングを使用して、両バージョンの重複部分を確認できます。これにより、2022 年版と 2013 年版の違い、および組織が対処すべきギャップが確認できます。
これを行うには、コンプライアンスモジュールに移動し、ISO/IEC 27001:2013 を選択してください。
マッピングタブを選択し、Map provisions ボタンをクリックしてください。新しいバージョンを選択し、Hailey AI を活用してマッピングを完了し、その後結果を確認します。
これでマッピングプロセスは完了です。必要に応じて、マッピングのリンクを解除することも可能です。
コンプライアンスのマッピングに関する詳細な手順については、こちらの記事をご覧ください。
ステップ 3: 既存の ISO/IEC 27001:2013 アセスメント結果のピボット
マッピングが完了すると、以前の ISO/IEC 27001:2013 に対するアセスメント結果を新バージョンにピボットできます。これは前のステップで生成されたマッピングを活用し、以前のアセスメントに基づいて新バージョンに対するパフォーマンスを表示するものです。
ご注意: このステップの前提条件として、6clicks に既存の ISO/IEC 27001:2013 アセスメントデータがある必要があります。
新規のお客様は、必要に応じて履歴アセスメントをインポートするオプションがあります。
これを実施するには、Analytics モジュールに移動し、履歴のアセスメントが RBA(要件ベースの評価)か QBA(質問ベースの評価)かに応じて、下記のいずれかのレポートを実行してください。
上記のいずれかのダッシュボードを実行する際、下記の必須フィルターを設定し、適用をクリックして結果を生成してください。
- Source Authority: ISO/IEC 27001:2013
- Target Authority: ISO/IEC 27001:2022
その他のフィルターを使用すると、特定のアセスメントやアセスメントフィールドまで詳細に絞り込むことができます。
以下は、サンプルデータを用いた Authority to Assessment Dashboard のスクリーンショットです。
ステップ 4: コントロールセットを ISO/IEC 27001:2022 に更新
次のステップは、内部のコントロールとポリシーを2022年版に合わせて更新することです。これを行うため、Hailey を再度使用して、コントロールセットを新バージョンにマッピングします。これにより AI を活用したギャップ分析がトリガーされ、必要に応じたギャップ修正のワークフローを開始できます。
これを行うには、Controls モジュールに移動し、該当するコントロールセットを選択して、ステータスを Edit に変更します。次に、Mappings タブに移動し、Create new mapping を選択してください。
ISO/IEC 27001:2022 権威を選択し、Scan をクリックしてください。
Hailey がコントロールセットを新バージョンにマッピングします。完了すると、アプリ内およびメールで通知が届きます。
ここから、既存のコントロールを新しいバージョンにマッピングするプロセスが開始されます。類似度が 85% 以上のコントロールは自動的にマッピングされ、残りのものは手動でリンクする必要があります。
コントロールセットのマッピングに関する詳細については、こちらの記事をご参照ください。
ご注意: ISO/IEC 27001 に関連する各コントロールセットについて、同様の操作が必要です。
すべての該当するコントロールセットのマッピングが完了すると、ISO/IEC 27001:2022 の規定の観点からマッピングをピボットして確認できます。
これにより、新バージョン内で現在の内部コントロールセットやポリシーで扱われていない規定を特定できます。これらのギャップに対しては、問題およびアクションを提起し、組織がコンプライアンスを達成できるように対処します。
ギャップ分析の詳細については、こちらの記事をご参照ください。
ギャップが解消されたら、該当するコントロールセットを公開し、組織全体にアップデートを展開します。
ステップ 5: 新しい適用宣言書(Statement of Applicability)アセスメントの準備と実施
内部のコントロールセットとポリシーのギャップが解消されたら、次のステージは現行標準に対する新しい適用宣言書(SoA)の準備です。これは移行プロセスの最終ステップであり、現状を評価し、評価結果に基づいて対策を講じることを可能にします。
6clicks では、ISO/IEC 27001:2022 用の SoA テンプレートを用意しており、コンテンツライブラリから直接追加できます。このアセスメントテンプレートは、27001:2022 Annex A 権威を参照しており、その内容が含まれます。お使いのテナントにこのオファリングを追加するには、コンテンツライブラリに移動し、検索バーを利用して、スターを使って追加してください。
コンテンツを追加したら、上記のテンプレートを使って新しい 要件ベースの評価 を作成してください。
評価には名前と回答者を割り当てた後、作成 をクリックしてください。
評価を公開する前に、必要に応じて質問の修正や独自の質問を追加することも可能です。アセスメントの修正に関する詳細なガイダンスについては、こちらをご覧ください。
適切なアクセスメンバーと期限を設定したら、アセスメントを公開してください。
アセスメントが公開されたので、6clicks 内でのアセスメントを開始できます。開始するには +Add Response をクリックしてください。
以下のリンクから、SoA アセスメントの回答およびレポート作成に進むことができます。
ステップ 6: 通常業務へ
上記のすべての項目が完了したら、あとは新バージョンに対して継続的なリスクおよびコンプライアンス管理を実施するだけです。
また、ISO/IEC 27001:2022 Annex A 権威に対して上記のマッピングとコントロールセットの更新を再実行したり、追加の内部監査をアセスメントで実施することも検討できます。該当するコンテンツはコンテンツライブラリ内にあります。ISO/IEC 27001:2022 Annex A 権威には、2013 Annex A 権威との変更点をマッピングした変更ログが付随しています。詳しくは、Compliance モジュールの概要をご覧ください。