ISO/IEC 27001 と ISO/IEC 27002 - 今とこれから

ISO/IEC 27001:2013とは？

簡単に言えば、ISO/IEC 27001:2013は、組織のセキュリティとデータ保護の実践を改善するためのロードマップであり、それによってあなたの組織は顧客に対するコミットメントを示し、競合他社よりも上位に立つことができるようにするものと考えることができます。

私たちの住む社会はますます「常時接続」社会になってきています。個人的にも集団的にも、私たちは生活のほとんどをオンラインで過ごし、自分自身に関するデータや情報を作成し、共有しています。ビジネスを行う上でテクノロジーに依存しないビジネスやオペレーションを1つでも想像することは困難です。

このようにオンライン化の流れが進むと、情報漏えいやサイバーセキュリティの事故は増え続けるでしょう。そして、このオンラインの世界では、「信用できるのは誰か？ 」という1つの重要な問いが、最も重要なものとなってきています。

ISO/IEC 27001:2013は、組織が信頼に足ることを示し、取締役会、投資家、チームに信頼を提供し、事業への投資の保護を重視していることを示すものです。

ISO/IEC 27001:2013の内容は？

この規格は2つのパートに分かれています。1つ目はマネジメントシステムそのもので、これは7つの領域に分かれています。

• 組織の状況 Context of the organisation
• リーダーシップ Leadership
• 計画 Planning
• 支援 Support
• 運用 Operation
• パフォーマンス評価 Performance evaluation
• 改善 Improvement

マネジメントシステムは組織を理解するための、リーダーシップを発揮するための、あなたとあなたの顧客にとってのリスクを理解するための、そして重要なことに、パフォーマンスを評価するための枠組みを提供します。

規格の後半部分には、管理策の附属書があり、附属書Aとして言及されます。これらの管理策は、慎重に検討しなければならない特定の要求事項を概説しており、それに対して適切な管理策を適用することが要求されます。この附属書 Aの管理策は以下です。

• 情報セキュリティのための方針群 Information security policies
• 情報セキュリティのための組織 Organisation of information security
• 人的資源のセキュリティ Human resource security
• 資産の管理 Asset management
• アクセス制御 Access control
• 暗号 Cryptography
• 物理的及び環境的セキュリティ Physical and environmental security
• 運用のセキュリティ Operations security
• 通信のセキュリティ Communications security
• システムの取得 System acquisitions
• 供給者関係 Supplier relationships
• 情報セキュリティインシデント管理 Information security incident management
• 事業継続マネジメントにおける情報セキュリティの側面 Information security aspects of business continuity
• 順守 Compliance

ISO/IEC 27001:2013で規定されている管理策をどのように実施すればよいかが明確ではないとしても、ISO/IEC 27002:2022では、何を実施すればよいかのガイダンスが示されています。両者の根本的な違いは、簡単に言うと以下です。

• ISO/IEC 27001:2013では、何を整備しなければならないか (shall 必須) が記載されている。
• ISO/IEC 27002:2022では、何を整備するのが望ましいのか (should 裁量) が記載されている。

 JTC1/SC27メンバーによる ISO/IEC 27001:2022 に関する最新記事　改訂の内容を知りたい方は以下から
> ISO/IEC 27001:2022 変更点は？ (パート 1) 情報セキュリティと管理策の重要性

>ISO/IEC 27001:2022 変更点は？ (パート 2) 新しい管理策の詳細と改訂の影響

関連記事
> ISO/IEC 27002 の改訂と ISO/IEC 27001 - 今後の変更点

> ISO/IEC TS 27022:2021 – 情報技術 – 情報セキュリティマネジメントプロセスに関するガイダンス

> ISO/IEC 27017:2015 – 情報技術 – ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範

新しい規格

先日、満を持してISO/IEC 27002:2022の新しい版が発行されました。ISO/IEC 27001:2013自体には大きな変更はないと思われますが、注意すべきはISO 27001 の附属書 Aの管理策はISO 27002:2022の更新によりかなり大きく変化するであろう点です。

管理策に対する主な変更点は以下の通りです。

• 114の管理策が93に削減 された
• 58の管理策が更新された
• 24の管理策が統合された
• 11の新しい管理策が導入された

これらの変化が意味することは何かというと、やるべきことがあるということです。組織は、現在の附属書Aの管理体制を詳細に検討し、新しい管理策に対応させる必要があります。

組織は、新しい規格への取り組みと、新しい管理策をどのように採用する予定なのか、あるいはそもそも採用する予定なのかについて問われ始めるでしょう。もし、あなたがまだこの変化に気付いていないようでしたら、質問が来る前、今が学ぶべき時です。

クオリティプロフェッショナルが注視しているのは (ISO27001 の) 附属書Aに記載された管理策の変更であるため、たくさんの変更はないかもしれません。しかし、新たな管理策が導入されることにより、新たなリスクが浮き彫りになる可能性があります。

例えば、11個の新しい管理策には以下が含まれます (※ 日本語は便宜的な訳です)。

• 5.7 - threat intelligence (脅威インテリジェンス)
• 5.30 - ICT readiness for business continuity (事業継続のためのICT準備度)
• 5.23 - information security for use of cloud services (クラウドサービスを利用するための情報セキュリティ)
• 7.4 - physical security monitoring (物理的なセキュリティ監視)
• 8.9 - configuration management (構成管理)
• 8.10 - information deletion (情報の削除)
• 8.11 - data masking (データマスキング)
• 8.12 - data leakage prevention (データ漏えい防止)
• 8.16 - monitoring activities (監視活動)
• 8.23 - web filtering (Webフィルタリング)
• 8.28 - secure coding (セキュアコーディング)

物理的なセキュリティ監視に該当するCCTVの品質に関連するリスクは、クオリティプロフェッショナルの懸念領域となる可能性があります。 さらに、システムの監視方法についても、特に監視方法の完全性とセキュリティに関連する、さらなる品質リスクを浮き彫りにする可能性があります。

変更への準備

まず、一言。どうかパニックにならないでください！規格は改訂後、約18ヶ月から24ヶ月の移行期間が設けられます。しかし、ISO/IEC 27001:2013の採用を検討している組織は、ISO/IEC 27002:2022の新しい管理策へ今すぐ移行した方が、この先移行する必要がないということがあるかもしれません。ISO/IEC 27001 の認証を受けている組織は、現在および将来の附属書Aの管理策に対するギャップ分析を行うとともに、新たに導入される管理策に関連するリスクを特定するためのリスクワークショップの実施を検討する必要があります。

ISO/IEC 27001:2013を最終目標とするのではなく、ISO/IEC 27001:2013をロードマップとして、より強固なサイバーセキュリティとデータ保護への旅に焦点を当てる方が望ましいでしょう。

その他、ISMS 関連規格の記事
> ISO/IEC 27014: 情報セキュリティ, サイバーセキュリティ, プライバシー情報保護―情報セキュリティのガバナンス

> ISO/IEC 27035 - 情報セキュリティインシデントが発生したとき、組織は何をすべきか？

> ISO/IEC 27005:2018 情報技術－セキュリティ技術－情報セキュリティリスクマネジメント