規格改定の経緯
- 2022年2月にISMSの規格であるISO/IEC27001の関連規格、ISO/IEC27001の改訂が行われました。
- ISO/IEC27001はISO/IEC27001附属書Aの管理策の導入・運用を手助けするためのガイダンスであり、整合が取れていることが前提となります。
- ISO/IEC27001は、管理策の構成や内容に大幅な変更が入っており、ISO/IEC27001側も改訂(もしくは追補発行)を行わなければ整合が取れなくなりました。
ISMS 2022年版について
現時点の情報では、規格(ISO/IEC27001:2022)は、2022年10月25日に発行されました。規格発行後、3年以内に移行審査(審査基準ISO/IEC27001:2022) を受審する必要があります。
主な変更点
主な変更点は、附属書Aとなります。
- 管理策数が114から93へ減少しました。
- 新しい管理策:11の管理策が新設
- 削除された管理策 :0 (管理策が統合されている為)
- 章構成が見直された(4つの管理策カテゴリ)
- 組織的管理策
- ⼈的管理策
- 物理的管理策
- 技術的管理策
新規管理策の追加
11の新たな管理策は以下の通りです(正式発行時にタイトル名(邦訳)が変わる可能性があります)
5.7 脅威インテリジェンス
5.23 クラウドサービス利用のための情報セキュリティ
5.30 ビジネス継続のためのICTの備え
7.4 物理的セキュリティ監視
8.9 設定管理
8.10 情報の削除
8.11 データマスキング
8.12 データ漏洩の防止
8.16 監視活動
8.23 ウェブフィルタリング
8.28 セキュアコーディング
想定される対応事項
適用宣言書の改訂
新規格の構成に合わせた改訂が必要となります。ただし、管理策の内容が大幅に変更するわけではないため、適用/適用除外が大幅に変わるというよりは、組織の運用ルールとのマッピングの見直しが大部分になると想定されます。
ルールの見直し、追加
「管理策の内容が大幅に変更するわけではない」といったものの、規格改訂に伴い新たに追加される管理策もあるため、その部分については適用しているかルールの見直しを行い、不足する場合には新規ルールの追加検討や、適用除外の検討を行う必要が出てきます(適用除外を行う場合は、相応の理由付けが必要です)。
※ 上記は、2022年2月に改訂・発行された、ISO/IEC27002:2022を基に記載しているため、ISO/IEC27001の改訂版と相違点が生じる可能性がある事をご了承願います。
その他
組織は、移行期間内に次を終了させておく必要があります。
- ISMS移行審査
- ISMS移行審査後の判定会議(審査機関側で実施)
※判定会議の実施時期は審査機関によって違います。(審査後、1週間から1ヶ月後に実施)
ISO/IEC27001の対訳版は、発行さていますが高価です。JIS規格書の発行は、来年の夏以降との情報があります。
