ISMSを取得されている組織のみなさまは、審査機関の担当者の方から「まもなくISMSの規格改訂が発生する」といった説明を受けていることもあるのではないでしょうか。
その通りで今年の夏から秋ごろにISMSの規格であるISO/IEC27001規格の改訂が発生するとされています(まだ改訂時期の確定情報は出ていないため、注意)。

ただ、規格が変わると言われただけでは、「何が変わるのか?」「それによって何かしなければならないことがあるのか?」など不明な点も多いかと思います。
そこで今回はISMSの規格改訂の経緯、規格の変更点、規格改訂に伴い発生する対応事項についてご紹介します。

規格改訂の経緯

2022年2月にISMSの規格であるISO/IEC27001の関連規格、ISO/IEC27002の改訂が行われました。

ISO/IEC27002はISO/IEC27001附属書Aの管理策の導入・運用を手助けするためのガイダンスであり、整合が取れていることが前提となります。

そして今回のISO/IEC27002は、管理策の構成や内容に大幅な変更が入っており、ISO/IEC27001側も改訂(もしくは追補発行)を行わなければ整合が取れなくなってしまうため、改訂が行われることとなりました。

現在はISO/IEC27001の改訂作業中であり、2022年の夏から秋ごろに発行されるとされています。

規格の変更点

規格構成の変更

従来の管理策では、5~18までの14テーマ114個の管理策で構成されていました。
これが新規格では、5~8の4テーマ93管理策へと構成が変わります。

具体的には以下の4テーマに集約されます。

5.組織的管理策
6.人的管理策
7.物理的管理策
8.技術的管理策

管理策数は114から93へと減少していますが、完全に削除される管理策は実は0個であり、統合されるなどしてすべての管理策が何らかの形で残ることとなります。つまり、何かルールを消したりということは基本発生せず、マッピング箇所が変わるイメージです。

新規管理策の追加

管理策の全体数は21個減少しているのですが、実は新規格では11の新たな管理策が追加されます。

具体的には以下の11管理策です。
(管理策名はJIS Q規格として正式発行時にタイトル名(邦訳)が変わる可能性があります)

5.7 脅威インテリジェンス
5.23 クラウドサービス利用のための情報セキュリティ
5.30 ビジネス継続のためのICTの備え
7.4 物理的セキュリティ監視
8.9 設定管理
8.10 情報の削除
8.11 データマスキング
8.12 データ漏洩の防止
8.16 監視活動
8.23 ウェブフィルタリング
8.28 セキュアコーディング

用語定義の考え方の変更

これまでISMS関連規格の用語及び定義は、用語集でもあるISO/IEC27000に集約されていました。
ただ今回のISO/IEC27002:2022より新たに「TermOwnership」という考え方が登場し、特定の規格に強い結びつきを持つ用語などについては各規格で用語の定義を行う事となりました。
そのため、ISO/IEC27002:2022でも一部の用語について改めて用語や定義が記載されています。

【ISO/IEC27002:2022がTermOwnershipを持つ例】

  • Access Control
  • Attack
  • Information security incident など

組織の取組みそのものや運用に大きな影響を及ぼすものではないですが、規格を理解する上で役立つものですので、頭の片隅に置いておいていただいてもよいのではないでしょうか。

規格改訂に伴う対応事項

この記事は、2022年2月に改訂・発行された、ISO/IEC27002:2022を基に記載しているため、ISO/IEC27001の改訂時には、追加での変更や相違点が発生する可能性があります。

適用宣言書の改訂

附属書Aの管理策の構成そのものが変更するため、そもそも適用宣言書を新規格の構成に合わせて改訂する必要があります。
ただし、管理策内容が大幅に変更するわけではないため、適用/適用除外が大幅に変わるというよりは、組織の運用ルールとのマッピングの見直しが大部分となることが想定されます。

ルールの見直し、追加

「管理策内容が大幅に変更するわけではない」といったものの、規格改訂に伴い新たに追加される管理策もあるため、その部分については適用しているかルールの見直しを行い、不足する場合には新規ルールの追加検討や、適用除外の検討を行う必要が出てきます(適用除外を行う場合は、相応の理由付けが必要です)。

新規格対応した状態での審査受審

ISMS認証は、規格改訂が発生すると、一定期間内に新規格に対応した状態で審査を受ける必要があります。
新規格対応の移行期間は以下スケジュールとなることが予想されます。

  • 2022年夏~秋:ISO/IEC27001改訂版発行
  • 新規取得・再認証組織:改訂版発行日を基準として1年以内
  • 取得済み組織(直近はサーベイランス審査):改訂版発行日を基準として2年以内

まとめ

今回はISMSの規格改訂で変わること、発生する対応事項についてご紹介しました。
まだISMSの規格本体であるISO/IEC27001の改訂は行われていませんが、改訂自体が行われることは間違いなく、また、改訂に際しての新規格対応も必須で発生することとなります。

まだ新規格が出ているわけではないので、数ヵ月の内に対応を完了させなければならないというものではありませんが、遅くとも発行後2年(新規・再認証の場合は1年)以内に対応しなければならないものとして認識しておきましょう。

再構成された各テーマについて、各管理策についてはまた別途ご紹介できればと思います!

ISMSの規格改訂で何が変わる?新規の対応事項とは?

ISMSを取得されている組織のみなさまは、審査機関の担当者の方から「まもなくISMSの規格改訂が発生する」といった説明を受けていることもあるのではないでしょうか。
その通りで今年の夏から秋ごろにISMSの規格であるISO/IEC27001規格の改訂が発生するとされています(まだ改訂時期の確定情報は出ていないため、注意)。

ただ、規格が変わると言われただけでは、「何が変わるのか?」「それによって何かしなければならないことがあるのか?」など不明な点も多いかと思います。
そこで今回はISMSの規格改訂の経緯、規格の変更点、規格改訂に伴い発生する対応事項についてご紹介します。

規格改訂の経緯

2022年2月にISMSの規格であるISO/IEC27001の関連規格、ISO/IEC27002の改訂が行われました。

ISO/IEC27002はISO/IEC27001附属書Aの管理策の導入・運用を手助けするためのガイダンスであり、整合が取れていることが前提となります。

そして今回のISO/IEC27002は、管理策の構成や内容に大幅な変更が入っており、ISO/IEC27001側も改訂(もしくは追補発行)を行わなければ整合が取れなくなってしまうため、改訂が行われることとなりました。

現在はISO/IEC27001の改訂作業中であり、2022年の夏から秋ごろに発行されるとされています。

規格の変更点

規格構成の変更

従来の管理策では、5~18までの14テーマ114個の管理策で構成されていました。
これが新規格では、5~8の4テーマ93管理策へと構成が変わります。

具体的には以下の4テーマに集約されます。

5.組織的管理策
6.人的管理策
7.物理的管理策
8.技術的管理策

管理策数は114から93へと減少していますが、完全に削除される管理策は実は0個であり、統合されるなどしてすべての管理策が何らかの形で残ることとなります。つまり、何かルールを消したりということは基本発生せず、マッピング箇所が変わるイメージです。

新規管理策の追加

管理策の全体数は21個減少しているのですが、実は新規格では11の新たな管理策が追加されます。

具体的には以下の11管理策です。
(管理策名はJIS Q規格として正式発行時にタイトル名(邦訳)が変わる可能性があります)

5.7 脅威インテリジェンス
5.23 クラウドサービス利用のための情報セキュリティ
5.30 ビジネス継続のためのICTの備え
7.4 物理的セキュリティ監視
8.9 設定管理
8.10 情報の削除
8.11 データマスキング
8.12 データ漏洩の防止
8.16 監視活動
8.23 ウェブフィルタリング
8.28 セキュアコーディング

用語定義の考え方の変更

これまでISMS関連規格の用語及び定義は、用語集でもあるISO/IEC27000に集約されていました。
ただ今回のISO/IEC27002:2022より新たに「TermOwnership」という考え方が登場し、特定の規格に強い結びつきを持つ用語などについては各規格で用語の定義を行う事となりました。
そのため、ISO/IEC27002:2022でも一部の用語について改めて用語や定義が記載されています。

【ISO/IEC27002:2022がTermOwnershipを持つ例】

  • Access Control
  • Attack
  • Information security incident など

組織の取組みそのものや運用に大きな影響を及ぼすものではないですが、規格を理解する上で役立つものですので、頭の片隅に置いておいていただいてもよいのではないでしょうか。

規格改訂に伴う対応事項

この記事は、2022年2月に改訂・発行された、ISO/IEC27002:2022を基に記載しているため、ISO/IEC27001の改訂時には、追加での変更や相違点が発生する可能性があります。

適用宣言書の改訂

附属書Aの管理策の構成そのものが変更するため、そもそも適用宣言書を新規格の構成に合わせて改訂する必要があります。
ただし、管理策内容が大幅に変更するわけではないため、適用/適用除外が大幅に変わるというよりは、組織の運用ルールとのマッピングの見直しが大部分となることが想定されます。

ルールの見直し、追加

「管理策内容が大幅に変更するわけではない」といったものの、規格改訂に伴い新たに追加される管理策もあるため、その部分については適用しているかルールの見直しを行い、不足する場合には新規ルールの追加検討や、適用除外の検討を行う必要が出てきます(適用除外を行う場合は、相応の理由付けが必要です)。

新規格対応した状態での審査受審

ISMS認証は、規格改訂が発生すると、一定期間内に新規格に対応した状態で審査を受ける必要があります。
新規格対応の移行期間は以下スケジュールとなることが予想されます。

  • 2022年夏~秋:ISO/IEC27001改訂版発行
  • 新規取得・再認証組織:改訂版発行日を基準として1年以内
  • 取得済み組織(直近はサーベイランス審査):改訂版発行日を基準として2年以内

まとめ

今回はISMSの規格改訂で変わること、発生する対応事項についてご紹介しました。
まだISMSの規格本体であるISO/IEC27001の改訂は行われていませんが、改訂自体が行われることは間違いなく、また、改訂に際しての新規格対応も必須で発生することとなります。

まだ新規格が出ているわけではないので、数ヵ月の内に対応を完了させなければならないというものではありませんが、遅くとも発行後2年(新規・再認証の場合は1年)以内に対応しなければならないものとして認識しておきましょう。

再構成された各テーマについて、各管理策についてはまた別途ご紹介できればと思います!

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする