【図解】ISMS認証取得に必要なISO 27001:2022要求事項
ISMS認証取得の基準規格となる「ISO/IEC 27001」が改正され、2022年に10月25日に発行されました。
その後、JIS Q 27001:2023も日本国内で発行されました。
改正された「ISO/IEC 27001:2022(JIS Q 27001:2023)」の要求事項を、各項の関連性が分かるように「ISO/IEC 27001:2022(JIS Q 27001:2023)要求事項体系図」として図にまとめてみました。
また、改正の経緯とそれらのポイントも併せてまとめてましたので、ご参考ください。
改正の経緯
改正前の規格である「ISO/IEC 27001:2013」(以下「旧規格27001」)は、「ISO/IEC 27002:2013」(以下「旧規格27002」)と合わせ、2013年10月に発行されました。
その後、通例に従い、発行から3年目になる2016年に、ISO/IEC JTC 1/SC 27において、ISO/IEC 27001及びISO/IEC 27002の改正の要否が検討された結果、ISO/IEC 27002の改正が決定され、ISO/IEC 27001の附属書AもISO/IEC 27002で規定する管理策一覧としてISO/IEC 27002の改正後に改正することとなりました。
ISO/IEC 専門業務用指針「附属書SL」変更にともなう改正
ISO/IEC 27001(JIS Q 27001)は、「ISO/IEC専門業務用指針 第1部 統合版ISO補足指針」の附属書SL(マネジメントシステム規格のための調和させる方法)(以下「附属書SL」))に規定する上位構造(HLS)、共通の細分箇条題名、共通テキスト並びに共通の用語及び中核となる定義を参考にしています。
通常、ISOのマネジメント規格は、この指針に適合した規格構成になっており、他のISOマネジメント規格との整合が保たれています。
今回、この附属書SLにおける共有テキストの変更に伴い、ISO/IEC 27001も改正されることになりました。なお、これにより要求事項の追加又は拡大はありますが、ISO/IEC 27001の本文全体にわたる要求事項の中では限定的であり、主なものは以下の通りとなります。
- 旧規格27001の「文書化した情報を保持する」が「文書化した情報を利用可能な状態にする」に変更され、文書化した情報を保持していても必要な人に利用可能でない状態の場合は、要求事項に合致しないこととなりました。
- 「6.2 情報セキュリティ目的及びそれを達成するための計画策定」において列挙されている「情報セキュリティ目的に関する要求事項」列挙に、情報セキュリティ目的を「監視する」が追加されました。
- 「6.3 変更の計画策定」の追加され、ISMSの変更を計画的な方法で行うことが求められることになりました。
- 「8.1 運用の計画策定及び管理」において、管理すべき対象が「外部委託したプロセス」から「外部から提供されるプロセス、製品又はサービス」に変更され、外部から提供される「製品」及び「サービス」を管理すべきことが追加されました。
- 「9.3 マネジメントレビュー」にて、「9.3.2 マネジメントレビューへのインプット」が別項となり、インプット事項に「利害関係者のニーズ及び期待の変化」が追加されました。
その他、ISO/IEC 27001固有の本文変更
附属書SLの変更には関係しない、ISO/IEC 27001固有の変更があります。しかし、これらの変更に該当するものは少なく、要求事項を追加や変更するものではありません。
例えば、旧規格27001では、「6.1.3情報セキュリティ対応」の注記1及び注記2で、管理目的及び管理策に言及していたが、改正にて、記載から管理目的を削除されました。
また、旧規格27002では、管理目的の下位に管理策を置いていたのに対して、改正にて、管理策ごとにその下位に目的という項目を設けたことに対応しました。
これらは形式上の変更であり、その他の変更も意味を変えない形式上の変更となっています。
附属書Aの変更
ISO/IEC 27001の附属書Aとは、組織のリスク対応において、考えられる情報セキュリティ管理策のリストで、組織が情報セキュリティ対策を行う上で、参照することが求められているもので(「JIS Q 27001:2023 6.1.3 情報セキュリティリスク対応」より)、ISO/IEC 27002は、附属書Aをより具体的に記しており、参考及び手引きとして用いられる規格書です。
ISO/IEC 27002:2022は、ISO/IEC 27001よりも前の2022年2月15日に発行されており、附属書Aの管理策一覧においては、すでに改正されたISO/IEC 27002:2022の管理策に合わせて差替えられました。
名称も「情報技術ーセキュリティ技術ー情報セキュリティ管理策の実践のための規範」から、「情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策」に変更され、「規範」から明確に「管理策」となりました。
旧規格と同様に、ISO/IEC 27002:2022においては、管理策は「~望ましい」という表現であるのに対し、ISO/IEC 27001:2022の附属書Aでは、要求事項として「~しなければならない」となっていますが、管理策一覧の表においては、管理目的の記載がなくなり、管理策のみの一覧となり、構成に大きな見直しがあり、管理領域が従来の14から「5 組織的」、「6 人的」、「7 物理的」、「8 技術的」の4つの区分に集約されました。
管理策数は114から93へ減少しましたが、内容の近いものが統合されるなどしただけで、行うべき管理策の数が単純に減少したというわけではありません。
従来の管理策のうち58が更新され、24が統合し、更に、時代に合わた以下の11の管理策が新設されました。
- 5.7 脅威インテリジェンス(組織的)
- 5.23 クラウドサービスの利用のための情報セキュリティ(組織的)
- 5.30 事業継続のためのICTの備え(組織的)
- 7.4 物理的セキュリティの監視(物理的)
- 8.9 構成管理(技術的)
- 8.10 情報の削除(技術的)
- 8.11 データマスキング(技術的)
- 8.12 データ漏洩の防止(技術的)
- 8.16 監視活動(技術的)
- 8.23 ウェブ・フィルタリング(技術的)
- 8.28 セキュリティに配慮したコーディング(技術的)
執筆・監修:ISM Web store サポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。
