ISO27001 2023　規格改訂解説　

ISO27001 2023 規格改訂解説 – 仕組みで「努力」を形にできることに気づく場

ISO27001：2023 ⇒ ISO27001：2022

※ISO27001：2023となっていますが、正しくは、ISO27001：2022です。

（注：日本ではJISよりも、ISOと言いやすいことから、混乱が生じているようです）

この規格は日本語化され、JISQ27001:2023と表記されています。

 

改訂の経緯

ISO27001（英語版）は、2022年10月に改訂され、最新版として運用されていますが、

日本では翻訳が遅れ、2023年9月20日に、JISQ27001:2023として発行されています。

 

ISO27002（英語版）の規格も、2022年10月に改訂されていますが、

日本では翻訳が遅れ、2024年6月20日にJISQ27002:2024として発行されています。

 

この間、ISO27001の附属書Aの要求事項は、日本語翻訳（JIS化されていない）がない状態で

運用されていましたことを参考まで述べておきます。

 

今回、2024年6月20日からはISO27001の附属書Aの詳細は、JISQ27002:2024を

確認することが出きる状態になりました。

 

ISO27001（JISQ27001:2023）の付属書Aの内容

ISO27001（JISQ27001:2023）の付属書Aの一覧表を見ると

単純に、管理策の数としては21個の減少ということになっています。

 

しかし、管理策を一つひとつの内容を見ると

11の新たな管理策の追加もされています。

 

ISO27001の附属書Aにおいては、追加されたのは、以下の11の管理策です。

これを従来のJISQ27002（JISQ27002:2013)の管理策では、

5項～18項までの14の項、114の管理策で構成されていました。

JISQ27002:2024の構成

これがJISQ27002:2024で見てみると、

この93の管理策の変更の内訳は以下の通りです。

また

管理策の分類が４テーマに変更されました。

具体的には以下の４テーマに集約されます。

管理策数は114から93へと減少していますが、

完全に削除される管理策は実は0個であり、

 

統合されるなどしてすべての管理策が何らかの形で残ることとなります。

 

つまり、減った分のルールは無くなったのではなく、

マッピング箇所が変わった、ということです。

 

＜まとめ＞

ISO/IEC27001の位置付け

•ISO/IEC27001は、要求事項規格である。
•認証取得組織はこの規格に適合していること。

★ISO/IEC27001の附属書Aと27002の関連付けが整理された。

 

ISO/IEC27002：2022位置づけ

•ISO/IEC27002：2022はガイドライン規格である。
•27001の附属書Aと箇条番号が整合（27001附属書A5.1.1⇔27002 5.1.1）している。
•ISMSを実施する際に，管理策を選定するための参考文書となる。

IEC27002information security controlsである。
•情報セキュリティ管理策に関する規格として、2022年２月発行
•ISO/IEC27002：2013（JISQ27002：2014）の改定版
•日本規格協会にて対訳版として、JISQ27002:2024が発行された（2024.年6月）

 

ISO/IEC27002の変更点

管理策数の見直し：114個→93個（内訳：更新58，統合24，新規11，削除0）

•新規追加の11管理策

–脅威に対するインテリジェンス
–物理的セキュリティ監視
–情報削除
–ウェブフィルタリング等々

箇条の見直し

–2013年版は，5.～18.の14箇条
–2022年版では，下記の4箇条に再編成
•5.組織的管理策（37管理策）
•6.人的管理策（8管理策）
•7.物理的管理策（14管理策）
•8.技術的管理策（34管理策）
合計93管理策

ISO/IC27002:2013

5.情報セキュリティのための方針群（3）
6.情報セキュリティのための組織（7）
7.人的資源のセキュリティ（6）
8.資産の管理（10）　9.アクセス制御（14）
10.暗号（2）
11.物理的及び環境的セキュリティ（15）
12.運用のセキュリティ（14）
13.通信のセキュリティ（7）
14.システムの取得、開発及び保守（12）
15.供給者関係（5）
16.情報セキュリティインシデントの管理（7）
17.事業継続管理の情報セキュリティの側面（4）
18.順守（8）

ISO/IEC27002:2022

5.組織的管理策（37）
6.人的管理策（8）
7.物理的管理策（14）
8.技術的管理策（34）

附属書A（参考）属性の使用

附属書B（参考）ISO/IEC 27002:2013との対応

•管理策の記述構成の変更
-2013年版では，目的、管理策，実施の手引き，関連情報であったが
属性の表：管理策の各属性の値（次ページ）
管理策：管理策は何か
目的：なぜ管理策を実施することが望ましいか
手引：どのように管理策を実施することが望ましいか
その他の情報：説明文又はその他の関連文書の引用

と変更された。

 

ISO 27001：2022の改訂による影響

ISO/IEC 27001:2013が、

ISO/IEC 27002の改訂を反映して更新されるときに影響が発生します。

 

ISO/IEC 27002（管理策） 改訂の影響

ISO/IEC 27002の改訂が、ISO/IEC 27001認証を受けた組織に

影響を与えることは明らかです。

 

この影響は、ISO/IEC 27002の改訂版が発行されたときではなく、

ISO/IEC 27001:2013が、ISO/IEC 27002の改訂を反映して更新されるときに発生します。

 

この時点で、組織は改訂された管理策を見直し、

新規/改訂された管理策を効果的に実施するために現在の手順で十分かどうかを

判断しなければなりません。

 

適用のスケジュールは修正が必要になる可能性が高く、

審査/監査では改訂された基準を考慮する必要があります。

 

ISMSに対し指定された責任を持つすべての人は、

自分の組織に対する変更の影響を理解しなければなりません。

 

影響の度合いは、組織が現在各管理策に

どのように対処しているかによって、

また対応する管理策の改訂の具体的な要求事項によって異なります。

 

まったく新しい管理策の場合は、

手順の追加や作業手順の変更を行う必要があるでしょう。

 

これまでと同じく、ギャップ分析を行うことが出発点となります。

「私たちの組織は、今、何をしているのか、何が要求されているのか」

と問いかけましょう。

 

そうすれば、ギャップを埋めるための計画を立てることができます。

 

同様に、トレーニング機関にも影響があります。

 

コースの教材は、新しいカテゴリーの名称と管理策の数を反映し、

管理策の分類に対する新しい属性アプローチを伝えるために更新する必要があります。

受講する場合はこの点を確認いたしましょう。

 

特定の管理策の文言に基づいた演習やテストはすべて、

質問 (及び回答) が引き続き有効であるかを確認するために再検討する必要があります。

 

内部監査員に体系的な移行トレーニングは必要ないかもしれませんが、

認証機関や専門家メンバ－組織は、ISMS 内部監査員に対して、

新しい版や関連する説明資料に目を通し、変更点を熟知するよう要求するかもしれません。

 

＜追記＞

参考：これまでの規格　JIS Q 27001：2014の概要（主旨）

 

＜参考＞

＊リスクアセスメント

リスクアセスメントとは、事業所にあるリスクを洗い出し、

そのリスクを評価し、評価内容に応じてリスクを除去・低減する一連の手順のこと。

 

目に見えたリスクに全て低減措置を行うのではなく、

そのリスクの発生頻度や重要度を評価し、対策を決めるという点において

リスクアセスメントを行う意義があるとされている。

 

＊リスク対応

リスク対応とは、

リスク特定 によって発見されたリスクを分析（リスク分析）し、

リスク基準 にもとづいて リスク評価 を行い、

その評価をもとにリスクを修正すること。

 

リスク対応には以下のような内容が含まれる。

リスクを生じさせる活動を，開始又は継続しないと決定することによって，

リスクを回避すること

 

ある機会を追求するために，リスクをとる又は増加させること

リスク源を除去すること 起こりやすさ（3.40）を変えること 結果（3.12）を変えること

 

一つ以上の他者とリスクを共有・外部委託すること（契約及び保険などのリスクファイナンシングを含む。）

 

情報に基づいた選択によって，リスクを保有すること （リスク受容）

 

＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃＃

ISO Q 27001：2022の改訂動画のご案内