IRCA-マネジメントシステム審査員/監査員の国際登録機関 > 情報メディア > 技術|規格 > (パート 2) ISO/IEC 27001:2022 変更点は? 新しい管理策の詳細と改訂の影響

(パート 2) ISO/IEC 27001:2022 変更点は? 新しい管理策の詳細と改訂の影響

  • LINEで送る
  • このエントリーをはてなブックマークに追加
(パート 2) ISO/IEC 27001:2022 変更点は? 新しい管理策の詳細と改訂の影響

2022年10月、ISO/IEC 27001 が改訂され、2020年版が発行されました。その改訂の概要について、CQI を代表して ISO の JTC1/SC27 (ISO 27000シリーズを担当する委員会) に参加するリチャード・グリーン (Richard Green, CQP FCQI) がパート1とパート2 の2回にわたり解説します。パート2では、ISO/IEC 27001 の今回の変更点について、2013年版と2022年版の管理策の比較や、箇条4から箇条10に関する修正点などを詳しく見ていきます。また、今回の変更が組織のISMS をマネジメントする担当者にとって、どのような影響があるのか、また審査員/監査員にとって、どのような影響があるのかを探ります。

パート1 はこちら

パート1 の復習

この記事のパート1では、組織の情報資産の機密性、完全性、可用性を保護することがなぜ重要なのかを説明し、このリスク軽減プロセスを支援するために組織が採用できる管理策 (「リスクを修正 (modify) する対策」) について述べました。

また、ISO/IEC 27001の構成と適用範囲についても検討しました (図1参照)。

Structure-of-ISO_IEC-27001.jpg

規格本体は、「序文」と10の箇条からなり、そのうち箇条4~10では、情報セキュリティマネジメントシステム (ISMS) の審査/監査可能な要求事項を定めています。これに続いて、ISO/IEC 27001の関連規格であるISO/IEC 27002から抜粋した一連の管理策を含む附属書A (規定) が付属しています。

そして、最後に、読者が興味を持つ他の文献を紹介する参考文献があります。

今回の変更点

2022年4月、27000シリーズの規格の整備を担当するISO/IEC技術小委員会(JTC1/SC27)は、ISO/IEC 27002: 2013 (第2版) をISO/IEC 27002: 2022 (第3版) に更新しました。この改訂では、以下のように2013年版の管理策が大きく変更されました。

  • 管理策のカテゴリーを14から4へ削減
  • 35の管理目的を削除し、新しい管理階層を作成する
  • 2013年版の114の既存の管理策を2022年版では93の管理策に統合する
  • 11の新しい管理策を作成する


これら、ISO/IEC 27002 の管理策は、ISO/IEC 27001規格の不可欠な要素でもあるため、ISO/IEC 27001も更新する必要がありました。JTC1/SC27は、2022年版のISO/IEC 27002の一連の管理策を附属書Aに受け入れると同時に、箇条4から箇条10に含まれるISMSの中核となる要求事項に小さな変更を加えました。

2013年版の管理策と2022年版の管理策をマッピングする

以下の表は、27001 の一連の管理策に加えられた変更の大きさを示すものです。A列は、2013年版の114の管理策とその表題を示しています。B列は、2013年版の番号です。C列は2022年の管理策の番号、D列は2022年版の表題が記載されています。

例えば、2013年版では、「5.1.1 情報セキュリティのための方針群 Policies for information security 」と「5.1.2 情報セキュリティのための方針群のレビュー Review of the policies for information security」という2つの管理策を設けています。2022年版では、この2つの管理策は、単一の管理策「5.1 情報セキュリティのための方針群 Policies for information security」に統合されました。

同様に「17.1.1 情報セキュリティ継続の計画 Planning information security continuity」「17.1.2 情報セキュリティ継続の実施 Implementing information security continuity」「17.1.3 情報セキュリティ継続の検証,レビュー及び評価 Verify, review and evaluate information security continuity」は、2022年版では新しい2管理策「5.29 Information security during disruption (混乱時の情報セキュリティ)」に統合されました。

注意:  以下の表の 2013年版の管理策の表題はJISQ  27001: 2014 に従っています。2022年版の表題の日本語は便宜的な訳であり、正式なものではありません。また、英語には、例えばハイフンの追加など、日本語に反映されない小さな変更があるものもあります。逆に英文が変更されていても、訳文として同じに訳しているものもあります。
A 2013年版の管理策表題 B 2013年版
管理策番号
C 2022年版
管理策番号
D 2022年版 の管理策表題
Policies for information security
情報セキュリティのための方針群
5.1.1 5.1 Policies for information security
情報セキュリティのための方針群
Review of the policies for information security
情報セキュリティのための方針群のレビュー
5.1.2
Information security roles and responsibilities
情報セキュリティの役割及び責任
6.1.1 5.2 Information security roles and responsibilities
情報セキュリティの役割及び責任
Segregation of duties
職務の分離
6.1.2 5.3 Segregation of duties
職務の分離
Contact with authorities
関係当局との連絡
6.1.3 5.5 Contact with authorities
関係当局との連絡
Contact with special interest groups
専門組織との連絡
6.1.4 5.6 Contact with special interest groups
専門組織との連絡
Information security in project management
プロジェクトマネジメントにおける情報セキュリティ
6.1.5 5.8 Information security in project management
プロジェクトマネジメントにおける情報セキュリティ
(14.1.1も含む)
Mobile device policy
モバイル機器の方針
6.2.1 8.1 User endpoint devices
ユーザーエンドポイント機器
(11.2.8も含む)
Teleworking
テレワーキング
6.2.2 6.7 Remote working
リモートワーク
Screening
選考
7.1.1 6.1 Screening
選考
Terms and conditions of employment
雇用条件
7.1.2 6.2 Terms and conditions of employment
雇用条件
Management responsibilities
経営陣の責任
7.2.1  5.4 Management responsibilities
経営陣の責任
Information security awareness, education and training
情報セキュリティの意識向上、教育及び訓練
 7.2.2 6.3 Information security awareness, education and training
情報セキュリティの意識向上、教育及び訓練
Disciplinary process
懲戒手続
7.2.3 6.4 Disciplinary process
懲戒手続
Termination or change of employment responsibilities
雇用の終了又は変更に関する責任
7.3.1 6.5 Responsibilities after termination or change of employment
雇用の終了後又は変更後の責任
Inventory of assets
資産目録
8.1.1 5.9 Inventory of information and other associated assets
情報及びその他の関連資産の目録
Ownership of assets
資産の管理責任
8.1.2
Acceptable use of assets
資産利用の許容範囲
 8.1.3 5.10 Acceptable use of information and other associated assets
情報及び関連する資産の許容範囲
(8.2.3も含む)
Return of assets
資産の返却
8.1.4 5.11 Return of assets
資産の返却
Classification of information
情報の分類
8.2.1 5.12 Classification of information
情報の分類
Labelling of information
情報のラベル付け
8.2.2 5.13 Labelling of information
情報のラベル付け
Handling of assets
資産の取り扱い
8.2.3 5.10 Acceptable use of information and other associated assets
情報及び関連する資産の許容範囲
(8.1.3も含む)
Management of removable media
取外し可能な媒体の管理
8.3.1 7.10 Storage media
記録媒体
(11.2.5も含む)
Disposal of media
媒体の処分
8.3.2
Physical media transfer
物理的媒体の輸送
8.3.3
Access control policy
アクセス制御方針
9.1.1 5.15 Access control
アクセス制御
Access to networks and network services
ネットワーク及びネットワークサービスへのアクセス
9.1.2
User registration and de-registration
利用者登録及び登録解除
9.21 5.16 Identity management
アイデンティティ管理
User access provisioning
利用者アクセスの提供 (provisioning)
9.2.2 5.18 Access rights
アクセス権
(9.2.5と9.2.6も含む)
Management of privileged access rights
特権的アクセス権の管理
9.2.3 8.2 Privileged access rights
特権的アクセス権
Management of secret authentication information of users
利用者の秘密認証情報の管理
9.2.4 5.17 Authentication information
認証情報
(9.3.1と9.4.3も含む)
Review of user access rights
利用者アクセス権のレビュー
9.2.5 5.18 Access rights
アクセス権
(9.2.2も含む)
Removal or adjustment of access rights
アクセス権の削除又は修正
9.2.6
Use of secret authentication information
秘密認証情報の利用
9.3.1 5.17 Authentication information
認証情報
(9.2.4と9.4.3も含む)
Information access restriction
情報へのアクセス制限
9.4.1 8.3 Information access restriction
情報へのアクセス制限
Secure log-on procedures
セキュリティに配慮したログオン手順
9.4.2 8.5 Secure authentication
セキュリティに配慮した認証
Password management system
パスワード管理システム
9.4.3 5.17 Authentication information
認証情報
(9.2.4と9.3.1も含む)
Use of privileged utility programs
特権的なユーティリティプログラムの使用
 9.4.4 8.18 Use of privileged utility programs
特権的なユーティリティプログラムの使用
Access control to program source code
プログラムソースコードへのアクセス制御
 9.4.5 8.4  Access to source code
ソースコードへのアクセス
Policy on the use of cryptographic controls
暗号による管理策の利用方針
10.1.1 8.24 Use of cryptography
暗号の利用
Key management
鍵管理
10.1.2
Physical security perimeter
物理的セキュリティ境界
11.1.1 7.1 Physical security perimeters
物理的なセキュリティ境界線
Physical entry controls
物理的入退管理策
 11.1.2 7.2  Physical entry
物理的入退
(11.1.6も含む)
Securing offices, rooms and facilities
オフィス、部屋及び施設のセキュリティ
11.1.3 7.3 Securing offices, rooms and facilities
オフィス、部屋及び施設のセキュリティ
Protecting against external and environmental threats
外部及び環境の脅威からの保護
11.1.4  7.5 Protecting against physical and environmental threats
物理的及び環境的な脅威からの保護
Working in secure areas
セキュリティを保つべき領域での作業
11.1.5 7.6 Working in secure areas
セキュリティを保つべき領域での作業
Delivery and loading areas
受渡場所
11.1.6 7.2 Physical entry
物理的入退
(11.1.2も含む)
Equipment siting and protection
機器の設置及び保護
11.2.1 7.8 Equipment siting and protection
機器の設置及び保護
Supporting utilities
サポートユーティリティ
11.2.2 7.11 Supporting utilities
サポートユーティリティ
Cabling security
ケーブル配線のセキュリティ
11.2.3  7.12  Cabling security
ケーブル配線のセキュリティ
Equipment maintenance
装置の保守
11.2.4  7.13   Equipment maintenance
装置の保守
Removal of assets
資産の移動
11.2.5 7.10 Storage media
記録媒体
(8.3.1、8.3.2、8.3.3も含む)
Security of equipment and assets off-premises
構外にある機器及び資産のセキュリティ
11.2.6 7.9 Security of assets off-premises
構外にある資産のセキュリティ
Secure disposal or reuse of equipment
装置のセキュリティを保った処分又は再利用
11.2.7 7.14 Secure disposal or re-use of equipment
装置のセキュリティを保った処分又は再利用
Unattended user equipment
無人状態にある利用者装置
11.2.8 8.1 User endpoint devices
ユーザーエンドポイント機器
(6.2.1も含む)
Clear desk and clear screen policy
クリアデスク・クリアスクリーン方針
 11.2.9  7.7 Clear desk and clear screen
クリアデスク及びクリアスクリーン
Documented operating procedures
操作手順書
12.1.1   5.37 Documented operating procedures
操作手順書
Change management
変更管理
12.1.2 8.32 Change management
変更管理
(14.2.2、14.2.3、14.2.4も含む)
Capacity management
容量・能力の管理
12.1.3  8.6  Capacity management
容量・能力の管理
Separation of development, testing and operational environments
開発環境、試験環境及び運用環境の分離
 12.1.4 8.31  Separation of development, test and production environments
開発環境、試験環境及び運用環境の分離
(14.2.6も含む)
Controls against malware
マルウェアに対する管理策
12.2.1 8.7 Protection against malware
マルウェアからの保護
Information backup
情報のバックアップ
12.3.1 8.13 Information backup
情報のバックアップ
Event logging
イベントログ取得
12.4.1 8.15 Logging
ログ取得
Protection of log information
ログ情報の保護
12.4.2
Administrator and operator logs
実務管理者及び運用担当者の作業ログ
12.4.3
Clock synchronization
クロックの同期
12.4.4 8.17 Clock synchronization
クロックの同期
nstallation of software on operational systems
運用システムに関わるソフトウェアの導入
12.5.1 8.19 Installation of software on operational systems
運用システムに関わるソフトウェアの導入
(12.6.2も含む)
Management of technical vulnerabilities
技術的ぜい弱性の管理
12.6.1 8.8 Management of technical vulnerabilities
技術的ぜい弱性の管理
(18.2.3も含む)
Restrictions on software installation
ソフトウェアのインストールの制限
12.6.2 8.19 Installation of software on operational systems
運用システムに関わるソフトウェアの導入
(12.5.1も含む)
Information systems audit controls
情報システムの監査に対する管理策
12.7.1 8.34 Protection of information systems during audit testing
監査試験時の情報システムの保護
Network controls
ネットワーク管理策
13.1.1 8.20 Networks security
ネットワークのセキュリティ
Security of network services
ネットワークサービスのセキュリティ
13.1.2 8.21 Security of network services
ネットワークサービスのセキュリティ
Segregation in networks
ネットワークの分離
13.1.3 8.22 Segregation of networks
ネットワークの分離
Information transfer policies and procedures
情報転送の方針及び手順
13.2.1 5.14 Information transfer
情報転送
Agreements on information transfer
情報転送に関する合意
13.2.2
Electronic messaging
電子的メッセージ通信
13.2.3
Confidentiality or nondisclosure agreements
秘密保持契約又は守秘義務契約
13.2.4 6.6 Confidentiality or non-disclosure agreements
秘密保持契約又は守秘義務契約
Information security requirements analysis and specification
情報セキュリティ要求事項の分析及び仕様化
14.1.1 5.8 Information security in project management
プロジェクトマネジメントにおける情報セキュリティ
(6.1.5も含む)
Securing application services on public networks
公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
14.1.2 8.26 Application security requirements
アプリケーションのセキュリティ要求事項
Protecting application services transactions
アプリケーションサービスのトランザクションの保護
14.1.3
Secure development policy
セキュリティに配慮した開発のための方針
14.2.1 8.25 Secure development life cycle
セキュリティに配慮した開発のライフサイクル
System change control procedures
システムの変更管理手順
14.2.2 8.32 Change management
変更管理
(12.1.2も含む)
Technical review of applications after operating platform changes
オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
14.2.3
Restrictions on changes to software packages
パッケージソフトウェアの変更に関する制限
14.2.4
Secure system engineering principles
セキュリティに配慮したシステム構築の原則
14.2.5 8.27 Secure system architecture and engineering principles
セキュリティに配慮したシステムアーキテクチャとエンジニアリングの原則
Secure development environment
セキュリティに配慮した開発環境
14.2.6 8.31 Separation of development, test and production environments
開発環境、試験環境及び運用環境の分離
(12.1.4も含む)
Outsourced development
外部委託による開発
14.2.7 8.30 Outsourced development
外部委託による開発
System security testing
システムセキュリティの試験
14.2.8 8.29 Security testing in development and acceptance
開発及び受入時のセキュリティの試験
System acceptance testing
システムの受入れ試験
14.2.9
Protection of test data
試験データの保護
14.3.1 8.33 Test information
試験情報
Information security policy for supplier relationships
供給者関係のための情報セキュリティの方針
15.1.1 5.19 Information security in supplier relationships
供給者関係における情報セキュリティ
Addressing security within supplier agreements
供給者との合意におけるセキュリティの取り扱い
15.1.2 5.20 Addressing information security within supplier agreements
供給者との合意における情報セキュリティの取り扱い
Information and communication technology supply chain
ICT サプライチェーン
15.1.3 5.21 Managing information security in the ICT supply chain
ICTサプライチェーンにおける情報セキュリティの管理
Monitoring and review of supplier services
供給者のサービス提供の監視及びレビュー
15.2.1 5.22 Monitoring, review and change management of supplier services
供給者のサービス提供の監視、レビュー及び変更管理
Managing changes to supplier services
供給者のサービス提供の変更に対する管理
15.2.2
Responsibilities and procedures
責任及び手順
16.1.1 5.24 Information security incident management planning and preparation
情報セキュリティインシデント管理の計画及び準備
Reporting information security events
情報セキュリティ事象の報告
16.1.2 6.8 Information security event reporting
情報セキュリティ事象の報告
Reporting information security weaknesses
情報セキュリティ弱点の報告
16.1.3
Assessment of and decision on information security events
情報セキュリティ事象の評価及び決定
16.1.4 5.25 Assessment and decision on information security events
情報セキュリティ事象の評価及び決定
Response to information security incidents
情報セキュリティインシデントへの対応
16.1.5 5.26 Response to information security incidents
情報セキュリティインシデントへの対応
Learning from information security incidents
情報セキュリティインシデントからの学習
16.1.6 5.27 Learning from information security incidents
情報セキュリティインシデントからの学習
Collection of evidence
証拠の収集
16.1.7 5.28 Collection of evidence
証拠の収集
Planning information security continuity
情報セキュリティ継続の計画
17.1.1 5.29 Information security during disruption
障害時の情報セキュリティ
Implementing information security continuity
情報セキュリティ継続の実施
17.1.2
Verify, review and evaluate information security continuity
情報セキュリティ継続の検証、レビュー及び評価
17.1.3
Availability of information processing facilities
情報処理施設の可用性
17.2.1 8.14 Redundancy of information processing facilities
情報処理施設の冗長性
Identification of applicable legislation and contractual requirements
適用法令及び契約上の要求事項の特定
18.1.1 5.31 Legal, statutory, regulatory and contractual requirements
法律、法令、規制及び契約上の要求事項
(18.1.5も含む)
Intellectual property rights
知的財産権
18.1.2 5.32 Intellectual property rights
知的財産権
Protection of records
記録の保護
18.1.3 5.33 Protection of records
記録の保護
Privacy and protection of personally identifiable information
プライバシー及び個人を特定できる情報 (PII) の保護
18.1.4 5.34 Privacy and protection of PII
プライバシー及び個人を特定できる情報 (PII) の保護
Regulation of cryptographic controls
暗号化機能に対する規制
18.1.5 5.31 Legal, statutory, regulatory and contractual requirements
法律、法令、規制及び契約上の要求事項
(18.1.1も含む)
Independent review of information security
情報セキュリティの独立したレビュー
18.2.1 5.35 Independent review of information security
情報セキュリティの独立したレビュー
Compliance with security policies and standards
情報セキュリティのための方針群及び標準の順守
18.2.2 5.36
8.8
Conformance with policies, rules and standards for information security AND
Management of technical vulnerabilities
情報セキュリティに関する方針群、規則及び規格への適合性、並びに
技術的ぜい弱性の管理
Technical compliance review
技術的順守のレビュー
18.2.3
新しい管理策
ここからは、2022年版から導入された新しい管理策です                  5.7 Threat Intelligence
脅威インテリジェンス
5.23 Information security for use of cloud services
クラウドサービス利用時の情報セキュリティ
 5.30  ICT readiness for business continuity
事業継続のためのICT準備度
7.4 Physical security monitoring
物理的なセキュリティ監視
8.9 Configuration management
構成管理
8.10 Information deletion
情報の削除
8.11 Data masking
データマスキング
8.12 Data leakage prevention
データ漏えい防止
8.16   Monitoring activities
監視活動
8.23 Web filtering
Webフィルタリング
8.28 Secure coding
セキュアコーディング


JTC1/SC27 は、既存の 情報セキュリティ管理策を更新するだけでなく、上記で特定した 11 の新しい管理策を追加しました。

箇条4から箇条10に関する修正

規格本体に加えられた変更は非常に小さく、その大部分は附属書SL のAppendix  2を組み入れるためにもたらされたものです。「不適合及び是正処置」は 10.1 から 10.2 に、「継続的改善」は 10.1 に変更となりましたが、各項目の内容に変更はありません。

内部監査 9.2 は「9.2.1 General 一般」「9.2.2 Internal Audit programme 内部監査プログラム」、9.3 マネジメントレビュー は「9.3.1 General 一般」「9.3.2 Management Review Inputs マネジメントレビューへのインプット」「9.3.3 Management Review Outputs マネジメントレビューからのアウトプット」 となります。これもまた構造的な変更であり、新たに対応すべき要求事項はありません。

また、ISMSの変更の計画をカバーする新しい細分箇条 6.3が導入され、箇条4.4では、組織がISMSの設計と運用にプロセスアプローチを採用することをより明確に求めており、ISMSの目標達成に向けた進捗を監視することが要求されています。

変更の意味するところ

実務者

ISO/IEC 27001の認証を取得している組織への影響の1つは、適用宣言書の再検討を迫られることであることは明らかです。適用宣言書とは、各組織がISO/IEC 27001 の附属書Aのどの管理策を採用しているかを特定し、かつ、採用していない管理策の除外を正当化するために作成しなければならない必須の文書化した情報です。2013年の一連の管理策が大幅に更新されるため、管理策の番号を変更し、表題を更新することさえ時間がかかります。

しかし、これはあくまでもプロセスの一部に過ぎないことを忘れてはなりません。管理策の表題が「そのまま」引き継がれる場合でも、管理策の性質を詳述するテキストが更新され、サポートするISMS文書、プロセス、手順の変更が必要となる場合があります。このため、既存の管理策のそれぞれについて、順守するために、これまでと異なるやり方をする必要があるかどうかを確認する必要があります。

そして、対応が必要な新たな管理策があります。新たな管理策についても、日々の業務に組み込んで、適合の証拠を得るために、現在の作業体制を変更する必要がある場合もあります。

規格本体の要求事項の変更により、新しい附属書SLの Appendix 2 に基づく構造を反映させるために、内部文書の番号の付け直しが必要になる場合があります。また、第三者審査員が再認証審査に来た際に、追加の箇条6.3を証明する必要があります。

また、監査については、新しい2022年版の管理策が効果的に機能していることを確認するために、内部監査プログラムの変更が必要になる場合があります。

審査員/監査員

ISMSの第一者監査、第二者監査、または第三者審査を提供する人々にも影響があります。ISO 17021-1とISO 19011は、審査員/監査員が審査/監査を実施する能力を有していなければならないと述べています。

つまり、審査員/監査員は知識、スキル、経験を持ち、それらを応用して意図した結果を出す能力が必要なのです。この場合、意図した結果は、ISO/IEC 27001:2022に基づくISMSを客観的に評価することです。

今回の改訂で、審査/監査実施の基本は変わりませんが、新たに11の管理策に関連する技術的な要求事項が追加されました。審査員/監査員によっては、適合性の有無を判断するために、さらなる知識の習得が必要な場合もあります。

審査員登録の移行について

CQI IRCA は、すべての ISMS 審査員に 2025 年 10 月 31 日までに専門能力開発活動を完了し、ISO/IEC 27001:2022 に関する知識、理解、および技能を最新のものにすることを要求しています。

審査員は、トレーニングコースへの参加、または他のCPD活動を通じて知識、理解、スキルを更新することを選択することができます。 このような活動は、審査員の CPD 記録に記録されなければならず、審査員は、この規格に対 して審査する能力があることを確認する宣言書に記入し、提出しなければなりません。

認証組織の移行-慌てる必要はありませんが…

国際認定機関フォーラム (IAF) は、ISO/IEC 27001:2013の認定を受けた組織に対して、2022年版の発行月の末日から3年間の移行期間を設けることに合意しました。ISOのウェブサイトによると、発行日は2022年10月ですから、組織は2025年10月31日までに移行する必要がありますが、まだ時間はあります。

しかし、認証機関は締め切り直前になると非常に忙しくなるため、ギリギリまで待たないことが重要です。今すぐ計画を開始し、利用可能な時間を使って、スムーズで統制の取れた移行を行いましょう。

CQI レポート The Future of Work 未来の働き方
IRCAテクニカルレポート:ISO22000:2018