ISO認証取得支援|ひまわりセキュア

規格改定の経緯

  • 2022年2月にISMSの規格であるISO/IEC27001の関連規格、ISO/IEC27001の改訂が行われました。
  • ISO/IEC27001はISO/IEC27001附属書Aの管理策の導入・運用を手助けするためのガイダンスであり、整合が取れていることが前提となります。
  • ISO/IEC27001は、管理策の構成や内容に大幅な変更が入っており、ISO/IEC27001側も改訂(もしくは追補発行)を行わなければ整合が取れなくなりました。

ISMS 2022年版について

現時点の情報では、規格(ISO/IEC27001:2022)は、2022年10月25日に発行されました。規格発行後、3年以内に移行審査(審査基準ISO/IEC27001:2022) を受審する必要があります。

主な変更点

主な変更点は、附属書Aとなります。

  • 管理策数が114から93へ減少しました。
  • 新しい管理策:11の管理策が新設
  • 削除された管理策 :0 (管理策が統合されている為)
  • 章構成が見直された(4つの管理策カテゴリ)
    • 組織的管理策
    • ⼈的管理策
    • 物理的管理策
    • 技術的管理策

新規管理策の追加

11の新たな管理策は以下の通りです(正式発行時にタイトル名(邦訳)が変わる可能性があります)

5.7  脅威インテリジェンス
5.23 クラウドサービス利用のための情報セキュリティ
5.30 ビジネス継続のためのICTの備え
7.4  物理的セキュリティ監視
8.9  設定管理
8.10 情報の削除
8.11 データマスキング
8.12 データ漏洩の防止
8.16 監視活動
8.23 ウェブフィルタリング
8.28 セキュアコーディング

想定される対応事項

適用宣言書の改訂

新規格の構成に合わせた改訂が必要となります。ただし、管理策の内容が大幅に変更するわけではないため、適用/適用除外が大幅に変わるというよりは、組織の運用ルールとのマッピングの見直しが大部分になると想定されます。

ルールの見直し、追加

「管理策の内容が大幅に変更するわけではない」といったものの、規格改訂に伴い新たに追加される管理策もあるため、その部分については適用しているかルールの見直しを行い、不足する場合には新規ルールの追加検討や、適用除外の検討を行う必要が出てきます(適用除外を行う場合は、相応の理由付けが必要です)。

※ 上記は、2022年2月に改訂・発行された、ISO/IEC27002:2022を基に記載しているため、ISO/IEC27001の改訂版と相違点が生じる可能性がある事をご了承願います。

その他

組織は、移行期間内に次を終了させておく必要があります。

  • ISMS移行審査
  • ISMS移行審査後の判定会議(審査機関側で実施)

    ※判定会議の実施時期は審査機関によって違います。(審査後、1週間から1ヶ月後に実施)

 ISO/IEC27001の対訳版は、発行さていますが高価です。JIS規格書の発行は、来年の夏以降との情報があります。