1. TOP
  2. ISO Q 27001:2022改訂の概要(主旨)

ISO Q 27001:2022改訂の概要(主旨)

ISO Q 27001:2022改訂の概要(主旨) – テンプレートに当てはめるだけで売れる仕組みができる※ISO27001:2022改訂速報を希望の方へ(本記事後半にフォームを用意)

 

Contents

ISO/IEC27002:2022改定について

★ISO/IEC27002改定
•新規追加管理策の説明
★ISO/IEC27001改定

ISO/IEC27001の位置付け

•要求事項規格である。
•認証取得組織はこの規格に適合していること。

★ISO/IEC27001と27002

ISO/IEC27002:2022

•ガイドライン規格である。
•27001の附属書Aと箇条番号が整合(27001附属書A5.1.1⇔270025.1.1)している。
•ISMSを実施する際に,管理策を選定するための参考文書となる。

IEC27002information security controls
•情報セキュリティ管理策に関する規格2022年2月発行
•現行のISO/IEC27002:2013(JISQ27002:2014)の改定版
•日本規格協会にて対訳版の発行(2022年5月)

 

ISO/IEC27002の変更点

管理策数の見直し:114個→93個(内訳:更新58,統合24,新規11,削除0)

•新規追加の11管理策(後述)

–脅威に対するインテリジェンス
–物理的セキュリティ監視
–情報削除
–ウェブフィルタリング等々

箇条の見直し

–2013年版は,5.~18.の14箇条
–2022年版では,下記の4箇条に再編成
•5.組織的管理策(37管理策)
•6.人的管理策(8管理策)
•7.物理的管理策(14管理策)
•8.技術的管理策(34管理策)
合計93管理策

ISO/IEC27002:2013

5.情報セキュリティのための方針群(3)
6.情報セキュリティのための組織(7)
7.人的資源のセキュリティ(6)
8.資産の管理(10)
10.暗号(2)
11.物理的及び環境的セキュリティ(15)
12.運用のセキュリティ(14)
13.通信のセキュリティ(7)
14.システムの取得、開発及び保守(12)
15.供給者関係(5)
9.アクセス制御(14)
ISO/IEC27002:2013
16.情報セキュリティインシデントの管理(7)
17.事業継続管理の情報セキュリティの側面(4)
18.順守(8)

ISO/IEC27002:2022

5.組織的管理策(37)
6.人的管理策(8)
7.物理的管理策(14)
8.技術的管理策(34)

附属書A(参考)属性の使用
附属書B(参考)ISO/IEC 27002:2013との対応

•管理策の記述構成の変更
-2013年版では,目的、管理策,実施の手引き,関連情報
属性の表:管理策の各属性の値(次ページ)
管理策:管理策は何か
目的:なぜ管理策を実施することが望ましいか
手引:どのように管理策を実施することが望ましいか
その他の情報:説明文又はその他の関連文書の引用

 

ISO Q 27001:2022の改訂による影響

ISO/IEC 27001:2013が、ISO/IEC 27002の改訂を反映して更新されるときに発生します。

 

ISO/IEC 27002 改訂の影響

ISO/IEC 27002の改訂が、ISO/IEC 27001認証を受けた組織に影響を与えることは明らかです。

この影響は、ISO/IEC 27002の改訂版が発行されたときではなく、ISO/IEC 27001:2013がISO/IEC 27002の改訂を反映して更新されるときに発生します。

この時点で、組織は改訂された管理策を見直し、新規/改訂された管理策を効果的に実施するために現在の手順で十分かどうかを判断しなければなりません。

適用のスケジュールは修正が必要になる可能性が高く、審査/監査では改訂された基準を考慮する必要がありますから、ISMSに対し指定された責任を持つすべての人は、自分の組織に対する変更の影響を理解しなければなりません。

影響の度合いは、組織が現在各管理策にどのように対処しているかによって、また対応する管理策の改訂の具体的な要求事項によって異なります。

まったく新しい管理策の場合は、手順の追加や作業手順の変更を行う必要があるでしょう。

これまでと同じく、ギャップ分析を行うことが出発点となります。「私たちの組織は、今、何をしているのか、何が要求されているのか」と問いかけましょう。

そうすれば、ギャップを埋めるための計画を立てることができます。

同様に、トレーニング機関にも影響があります。コースの教材は、新しいカテゴリーの名称と管理策の数を反映し、管理策の分類に対する新しい属性アプローチを伝えるために更新する必要があります。

特定の管理策の文言に基づいた演習やテストはすべて、質問 (及び回答) が引き続き有効であるかを確認するために再検討する必要があります。

審査員/監査員に体系的な移行トレーニングは必要ないかもしれませんが、認証機関や専門家メンバ-組織は、ISMS 審査員/監査員に対して、新しい版や関連する説明資料に目を通し、変更点を熟知するよう要求するかもしれません。

ISO Q 27001:2022の改訂速報を希望の方は下記よりお申し込みをして下さい。

ISO Q 27001:2022の改訂速報を希望
お名前
メールアドレス

 

 

参考:これまでの規格 JIS Q 27001:2014の概要(主旨)

 

*リスクアセスメント

リスクアセスメントとは、事業所にあるリスクを洗い出し、そのリスクを評価し、評価内容に応じてリスクを除去・低減する一連の手順のこと。

目に見えたリスクに全て低減措置を行うのではなく、そのリスクの発生頻度や重要度を評価し、対策を決めるという点においてリスクアセスメントを行う意義があるとされている。

 

*リスク対応

リスク対応とは、リスク特定 によって発見されたリスクを分析(リスク分析)し、リスク基準 にもとづいて リスク評価 を行い、その評価をもとにリスクを修正すること。リスク対応には以下のような内容が含まれる。 リスクを生じさせる活動を,開始又は継続しないと決定することによって,リスクを回避すること ある機会を追求するために,リスクをとる又は増加させること リスク源を除去すること 起こりやすさ(3.40)を変えること 結果(3.12)を変えること 一つ以上の他者とリスクを共有・外部委託すること(契約及び保険などのリスクファイナンシングを含む。) 情報に基づいた選択によって,リスクを保有すること (リスク受容)