ISO/IEC 27002 の改訂と ISO/IEC 27001 - 今後の変更点
はじめに
国際規格に基づく情報セキュリティマネジメントシステム (ISMS) を運用しているすべての組織は、ISO/IEC 27001:2013の内容をよくご存じだと思います。この規格は、附属書SLに規定されている上位構造 (HLS) に準拠しており、認証可能なISMSの中核となる要求事項を10個の主要箇条で定めています。また、この規格には、附属書A (規定) が含まれており、この附属書Aには、適用が不可能でない限り組織が適用しなければならないいくつかの管理策が詳細に記載されています。
この規格は、組織の情報資産を保護することを目的として作成されています。情報資産とは、組織にとって「価値がある」と認識されている、あらゆる方法で保存されている定義可能な情報と考えることができます。情報資産の例には以下が含まれます。
- 戦略、計画、到達点 (goals)、目的 (objectives)
- 特許権、著作権、商標権
- プロジェクトの記録
- マーケティングメディア
- 運用及び財務データ
- 法務及びコンプライアンス情報
- 研究開発の記録
ISO/IEC 27001:2013は、マネジメントシステムと一連の管理策を組み合わせて適用することにより、このような情報の機密性、完全性、可用性を維持することを目的としています。これらの管理策は、ISO/IEC 27001だけでなく、ISO/IEC 27002にも記載されています。
改訂の内容を知りたい方は以下から
> ISO/IEC 27001:2022 変更点は? (パート 1) 情報セキュリティと管理策の重要性
>ISO/IEC 27001:2022 変更点は? (パート 2) 新しい管理策の詳細と改訂の影響
ISO/IEC 27002 とは?
多くのISOの要求事項規格の場合と同様にISO/IEC 27001の開発を監督する技術委員会 (ISO/IEC JTC1 /SC27) は、関連するガイダンス規格であるISO/IEC 27002を作成することとしました。このガイダンス規格は、各管理策の理解を助けるとともに、各管理策を実際にどのように実施するかを提案することを目的としています。現在、両規格は相互に整合しており、各管理策はそれぞれの規格の2013年版に掲載されています。
しかし、ISO/IEC 27002については2022年2月に改訂版が発行される予定であり、相互の整合性を維持するためには、ISO/IEC 27001にも改訂版 (または、既存の規格の暫定的な修正版) が必要となります。
ISO/IEC 27002に含まれる管理策の数と性質が大幅に変更されるため、ISO/IEC 27001も更新を余儀なくされるということです。これらの管理策は、ISO/IEC 27001で「規定*」とされている附属書Aにも記載されていますから、ISO/IEC 27001も更新する以外の選択肢はありません。
* 各MS規格に含まれている附属書 (Appendix) には「参考 Informative」と「規定 Normative」の2つのタイプがあります。「参考」は文字通り参考として参照するものであり、必ずしも適用することは要求されていませんが、「規定」は可能な限りは適用する必要があるものです。
関連記事
> ISO/IEC 27001 と ISO/IEC 27002 - 今とこれから
> ISO/IEC TS 27022:2021 – 情報技術 – 情報セキュリティマネジメントプロセスに関するガイダンス
> ISO/IEC 27017:2015 – 情報技術 – ISO/IEC 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
ISO/IEC 27002の変更点
ISO/IEC 27002の第3版では、情報セキュリティ管理策の数が14カテゴリー114項目から、4カテゴリー93項目に削減されます (新しい4つのカテゴリーはorganisational controls 組織の管理策、people controls 人の管理策、physical controls 物理的管理策、technical controls 技術的管理策です)。
11個の新しい管理策が追加され、24個の管理策が既存の2013年版の管理策と統合され、既存の2013年版の58個の管理策が更新されます。
| ISO/IEC 27002:2013 管理策のカテゴリーと管理策の数 ( ) |
ISO/IEC 27002:2022 管理策のカテゴリーと管理策の数( ) |
|---|---|
| 情報セキュリティのための方針群 (2) Information security policies |
Organisational controls (組織の管理策) (37) |
| 情報セキュリティのための組織 (7) Organization of information security |
People controls (人の管理策) (8) |
| 人的資源のセキュリティ (6) Human resource security |
Physical controls (物理的管理策) (14) |
| 資産の管理 (10) Asset management |
Technical controls (技術的管理策) (34) |
| アクセス制御 (14) Access control |
|
| 暗号 (2) Cryptography |
|
| 物理的及び環境的セキュリティ (15) Physical and environmental security |
|
| 運用のセキュリティ (14) Operations security |
|
| 通信のセキュリティ (7) Communications security |
|
| システムの取得、開発及び保守 (13) System acquisition, development and maintenance |
|
| 供給者関係 (5) Supplier relationship |
|
| 情報セキュリティインシデント管理 (7) Information security incident management |
|
| 事業継続マネジメントにおける情報セキュリティの側面 (4) Information security aspects of business continuity management |
|
| 順守 (8) Compliance |
|
| 管理策総計=114 | 管理策総計=93 |
ISO/IEC 27002:2022の附属書A (参考) には2つの表があります。最初の表は、2022年版の管理策をそれぞれの「属性 attribute」で分類したものです。各管理策は、「preventive 予防」、「detective 検出」、「corrective 是正」のいずれかに分類され、また「confidentiality 機密性」、「integrity 完全性」、「availability 可用性」のいずれかに関連付けられています。さらに、(サイバーセキュリティの概念、運用能力、セキュアドメインごとに) 属性のグループ分けがあり、これにより、一連の管理策をさまざまな方法で「小分けする」ことができます。
2つ目の表では、既存の2013年版の管理策と新しい2022年版の管理策を相互参照しています。これにより、組織が現在採用している管理策に対し必要な変更の性質を迅速に確認することができます。
ISO/IEC 27002 改訂の影響
ISO/IEC 27002の改訂が、ISO/IEC 27001認証を受けた組織に影響を与えることは明らかです。この影響は、ISO/IEC 27002の改訂版が発行されたときではなく、ISO/IEC 27001:2013がISO/IEC 27002の改訂を反映して更新されるときに発生します。
この時点で、組織は改訂された管理策を見直し、新規/改訂された管理策を効果的に実施するために現在の手順で十分かどうかを判断しなければなりません。適用のスケジュールは修正が必要になる可能性が高く、審査/監査では改訂された基準を考慮する必要がありますから、ISMSに対し指定された責任を持つすべての人は、自分の組織に対する変更の影響を理解しなければなりません。
影響の度合いは、組織が現在各管理策にどのように対処しているかによって、また対応する管理策の改訂の具体的な要求事項によって異なります。まったく新しい管理策の場合は、手順の追加や作業手順の変更を行う必要があるでしょう。
これまでと同じく、ギャップ分析を行うことが出発点となります。「私たちの組織は、今、何をしているのか、何が要求されているのか」と問いかけましょう。そうすれば、ギャップを埋めるための計画を立てることができます。
同様に、トレーニング機関にも影響があります。コースの教材は、新しいカテゴリーの名称と管理策の数を反映し、管理策の分類に対する新しい属性アプローチを伝えるために更新する必要があります。特定の管理策の文言に基づいた演習やテストはすべて、質問 (及び回答) が引き続き有効であるかを確認するために再検討する必要があります。
審査員/監査員に体系的な移行トレーニングは必要ないかもしれませんが、認証機関や専門家メンバ-組織は、ISMS 審査員/監査員に対して、新しい版や関連する説明資料に目を通し、変更点を熟知するよう要求するかもしれません。
その他、ISMS 関連規格の記事
> ISO/IEC 27014: 情報セキュリティ, サイバーセキュリティ, プライバシー情報保護―情報セキュリティのガバナンス
