SecureNaviにてISMS新規格(ISO/IEC 27001:2022)に対応するべく、関連機能を2023/7/13(木)
1点ご注意点としましてはお客さまのご利用バージョンによって、
弊社側での事前作業が必要になります。(
新規格移行タイミングに合わせて、弊社チャットサポートへお問い合わせください。
- 毎月末に弊社にてデータ移行作業を実施いたします。切り替え期間中はお客様にてSecureNaviのデータ修正をお控えいただく場合がございます。
- お申し込みの状況によっては、翌月末の作業となる場合がございます。恐れ入りますが余裕を持ったお申し込みをお願いいたします。
この記事では、SecureNaviV1→V2に移行する際の詳細を説明いたします。
V1、V2とは
時期としては2022年夏頃までに発行された環境はV1、それ以降の発行はV2となっています。
SecureNavi_V2:そのまま新規格への切り替えが可能
V2の特徴
資産の画面
V1では基本的には「情報資産」のラインナップでしたが、V2では「HW、SW、NW、拠点、組織」を作成し、情報資産に紐づけるという形式をとっています。
以下が資産の修正画面です。
情報資産にリスクとリスク対応を紐付けられるようになりましたため、
リスクとリスク対応の編集は、基本的には上記画面にて実施します。
リスクの追加方法は以下の通りです。
リスク対応の追加方法は以下の通りです(社内ルールの項番に紐づけるところまで)
新規格用の修正については「新規格で追加された管理策(ページ中段)」をご参考ください
リスク一覧の画面
リスク一覧画面は、V1と使い方はほぼ変わりませんが、
リスク詳細画面は以下の通りで、リスク点数の推移や、リスク対応との紐付けが確認できます。
リスク対応一覧の画面
リスク対応はデフォルトでは未完了のものが表示されます。フィルタにて完了済み(実施済み)のリスク対応を表示することが可能です。
資産データ移行ルール
V1→V2に伴い、資産・リスク・リスク対応のデータも移行いたします。
基本的にはそのまま(欠損なく)移行が可能ですが、一部定義の違いが発生しますため、以下ご確認ください。
属性対応表
V1からV2のデータ移行は、以下の対応表に従って行われます。
V1 | V2 | |
---|---|---|
部門 | 主管組織 | 【1】 |
名前 | 名前 | |
- | カテゴリ | 【2】 |
分類 | 分類 | |
管理責任者 | 責任者 | |
利用可能な範囲 | 利用可能な範囲 | 【3】 |
保管場所 | 保管場所 | 【4】 |
保管期間 |
保管期間 | |
タグ |
タグ | |
備考 |
備考 |
基本的には、V1に記載されている内容が、そのままV2に移行されます。ただし【1】〜【4】については、記載内容をそのまま移行することが難しいため、特殊な移行ルールに基づきます。詳細については、以下をご確認ください。
【1】部門(主管組織)の移行
V1における「部門」は、あらかじめ適用範囲ページで登録された「部門」の一覧から選択できました。V2における「主管組織」(部門に相当する概念)は、「資産(組織カテゴリ)」の一覧から選択できます。
そのため、データ移行のルールとしては、適用範囲ページで登録された「部門」は、あらかじめ自動的に「資産(組織カテゴリ)」として登録が行われます。その後、V1の登録データをもとに、V2においても、各資産と主管組織の紐付けが行われます。
なお、V1の部門は複数登録できるのに対し、V2の主管組織は1つしか登録できません。データ移行においては、1つ目の部門が主管組織として登録されます。
また、このデータ移行において、新しく登録された「資産(組織カテゴリ)」は、親資産として、企業名を有する資産(組織カテゴリ)が自動的に設定されます。
【2】カテゴリの移行
V2における「カテゴリ」は、V1にはない概念です。そのため、データ移行の際には、V1の情報資産の内容を、SecureNavi担当者が目視で確認の上、適切と思われるカテゴリを設定いたします。なお、どのカテゴリにも振り分けることが難しいと判断した情報資産は、移行対象から除外することがあります。例として、以下のようなものがあります。
- 机、キャビネットなどの、データを保管しない什器類
なお、V2の性質上、一度資産に設定されたカテゴリを変更することができません。変更が必要な場合は、お手数をおかけしますが、一度削除いただき、正しいカテゴリでの再登録をお願いいたします。
【3】利用可能な範囲の移行
V1の利用可能な範囲は「自由入力」でしたが、V2の利用可能な範囲は「選択式 + 自由入力」となります。V2の利用可能な範囲を設定するときには、「組織」カテゴリとして登録された資産の一覧から複数選択ができます。
データ移行において、V1の利用可能な範囲は、SecureNavi担当者が目視で確認の上、可能な限り「組織」カテゴリの資産として登録させていただき、それらを利用可能な範囲として選択します。なお、資産として表現できなかった情報は、自由入力として入力されます。
【4】保管場所の移行
前述の「【3】利用可能な範囲」と考え方は同じです。
V1の保管場所は「自由入力」でしたが、V2の保管場所は「選択式 + 自由入力」となります。V2の保管場所を設定するときには、「ソフトウェア」「ハードウェア」「拠点」カテゴリとして登録された資産の一覧から複数選択ができます。
データ移行において、V1の保管場所は、SecureNavi担当者が目視で確認の上、可能な限り「ソフトウェア」「ハードウェア」「拠点」のいずれかのカテゴリの資産として登録させていただき、それらを保管場所として選択します。なお、資産として表現できなかった情報は、自由入力として入力されます。
データ移行に関する補足情報
- V2では、登録されるカテゴリによって、V1で登録していた属性が抜け落ちることがあります。(例えば、V1ではハードウェアに分類を設定することができましたが、V2におけるハードウェアカテゴリの資産は「分類」属性を持たないため、移行過程で属性が抜け落ちてしまいます)
- 移行が正常に行われたことを確認するため、SecureNavi担当者が、一時的に貴社環境においてアカウントを作成させていただくことがあります。
- 資産の「カテゴリ」は自由に変更することができるため、ここで述べた内容が一概に当てはまる保証はありません。カテゴリの変更を行った場合の移行ルールが知りたい場合は、お気軽にお問い合わせください。