ISO27001:2022（JIS Q 27001:2023）要求事項体系図

2024/04/16

ISMS解説資料. 5,824 views

改正の経緯

改正前の規格であるISO/IEC 27001:2013（以下「旧規格27001」）は、ISO/IEC 27002:2013（以下「旧規格27002」）と合わせ、2013年10月に発行されました。

その後、通例に従い、発行から3年目になる2016年に、ISO/IEC JTC 1/SC 27において、ISO/IEC 27001及びISO/IEC 27002の改正の要否が検討された結果、ISO/IEC 27002の改正が決定され、ISO/IEC 27001の附属書AもISO/IEC 27002で規定する管理策一覧としてISO/IEC 27002の改正後に改正することとなりました。

ISO/IEC 専門業務用指針「附属書SL」変更にともなう改正

ISO/IEC 27001（JIS Q 27001）は、「ISO/IEC専門業務用指針第1部統合版ISO補足指針」の附属書SL（マネジメントシステム規格のための調和させる方法）（以下「附属書SL」））に規定する上位構造（HLS）、共通の細分箇条題名、共通テキスト並びに共通の用語及び中核となる定義を参考にしています。

通常、ISOのマネジメント規格は、この指針に適合した規格構成になっており、他のISOマネジメント規格との整合が保たれています。

参考：ISO/IEC専門業務用指針（ISO/IEC Directives）

今回、この附属書SLにおける共有テキストの変更に伴い、ISO/IEC 27001も改正されることになりました。なお、これにより要求事項の追加又は拡大はありますが、ISO/IEC 27001の本文全体にわたる要求事項の中では限定的であり、主なものは以下の通りとなります。

旧規格27001の「文書化した情報を保持する」が「文書化した情報を利用可能な状態にする」に変更され、文書化した情報を保持していても必要な人に利用可能でない状態の場合は、要求事項に合致しないこととなりました。
「6.2 情報セキュリティ目的及びそれを達成するための計画策定」において列挙されている「情報セキュリティ目的に関する要求事項」列挙に、情報セキュリティ目的を「監視する」が追加されました。
「6.3 変更の計画策定」の追加され、ISMSの変更を計画的な方法で行うことが求められることになりました。
「8.1 運用の計画策定及び管理」において、管理すべき対象が「外部委託したプロセス」から「外部から提供されるプロセス、製品又はサービス」に変更され、外部から提供される「製品」及び「サービス」を管理すべきことが追加されました。
「9.3 マネジメントレビュー」にて、「9.3.2 マネジメントレビューへのインプット」が別項となり、インプット事項に「利害関係者のニーズ及び期待の変化」が追加されました。

その他、ISO/IEC 27001固有の本文変更

附属書SLの変更には関係しない、ISO/IEC 27001固有の変更があります。しかし、これらの変更に該当するものは少なく、要求事項を追加や変更するものではありません。

例えば、旧規格27001では、「6.1.3情報セキュリティ対応」の注記1及び注記2で、管理目的及び管理策に言及していたが、改正にて、記載から管理目的を削除されました。また、旧規格27002では、管理目的の下位に管理策を置いていたのに対して、改正にて、管理策ごとにその下位に目的という項目を設けたことに対応しました。

これらは形式上の変更であり、その他の変更も意味を変えない形式上の変更となっています。

附属書Aの変更

附属書Aの管理策一覧をISO/IEC 27002:2022の管理策に合わせて差替えられました。

旧規格と同様に、ISO/IEC 27002:2022においては、管理策は「～望ましい」という表現であるのに対し、ISO/IEC 27001:2022の附属書Aでは、要求事項として「～しなければならない」となっています。また、管理策一覧の表においては、管理目的の記載がなくなり、管理策のみの一覧となりました。

附属書Aでは構成に大きな見直しがあり、管理領域が従来の14から「5 組織的」、「6 人的」、「7 物理的」、「8 技術的」の4つの区分に集約されました。

管理策数も114から93へ減少しましたが、内容の近いものが統合されるなどしただけで、行うべき管理策の数が単純に減少したというわけではありません。

従来の管理策のうち58が更新され、24が統合し、更に、時代に合わた以下の11の管理策が新設されました。