Jan 10, 2024
2022年10月にISO/IEC 27001 が改訂され、2022年版が発行されました。
これに伴い、既にISO/IEC 27001の認証を取得されている組織においては、発行日の月末から3年間、2025年10月31日を移行期限にISO/IEC 27001:2022の要求事項への対応を実施し、移行審査を受けなければなりません。
ISO/IEC 27001 の今回の変更点について、2013年版と2022年版の管理策の比較や、箇条4から箇条10に関する修正点など組織のISMSにとって、どのような影響があるのでしょうか。
今回の2022年度版への改訂では、大きく分類して、以下の変更が行われています。
- 管理策のカテゴリーを14から4へ削減
- 35の管理目的を削除し、新しい管理階層を作成
- 2013年版の114の既存の管理策を、2022年版では82の管理策に統合
- 11の新しい管理策を作成
以下は、2013年度版と2022年度版で求められる管理策の変更についてとりまとめています。
| 2013年版 管理策番号 |
2013年版の管理策 | 2022年版 管理策番号 |
2022年版 の管理策 |
| 5.1.1 | 情報セキュリティのための方針群 | 5.1 | 情報セキュリティのための方針群 |
| 5.1.2 | 情報セキュリティのための方針群のレビュー | ||
| 6.1.1 | 情報セキュリティの役割及び責任 | 5.2 | 情報セキュリティの役割及び責任 |
| 6.1.2 | 職務の分離 | 5.3 | 職務の分離 |
| 6.1.3 | 関係当局との連絡 | 5.5 | 関係当局との連絡 |
| 6.1.4 | 専門組織との連絡 | 5.6 | 専門組織との連絡 |
| 6.1.5 | プロジェクトマネジメントにおける情報セキュリティ | 5.8 | プロジェクトマネジメントにおける情報セキュリティ (14.1.1含む) |
| 6.2.1 | モバイル機器の方針 | 8.1 | ユーザーエンドポイント機器 (11.2.8含む) |
| 6.2.2 | テレワーキング | 6.7 | リモートワーク |
| 7.1.1 | 選考 | 6.1 | 選考 |
| 7.1.2 | 雇用条件 | 6.2 | 雇用条件 |
| 7.2.1 | 経営陣の責任 | 5.4 | 経営陣の責任 |
| 7.2.2 | 情報セキュリティの意識向上、教育及び訓練 | 6.3 | 情報セキュリティの意識向上、教育及び訓練 |
| 7.2.3 | 懲戒手続 | 6.4 | 懲戒手続 |
| 7.3.1 | 雇用の終了又は変更に関する責任 | 6.5 | 雇用の終了後又は変更後の責任 |
| 8.1.1 | 資産目録 | 5.9 | 情報及びその他の関連資産の目録 |
| 8.12 | 資産の管理責任 | ||
| 8.1.3 | 資産利用の許容範囲 | 5.1 | 情報及び関連する資産の許容範囲 (8.2.3含む) |
| 8.1.4 | 資産の返却 | 5.11 | 資産の返却 |
| 8.2.1 | 情報の分類 | 5.12 | 情報の分類 |
| 8.2.2 | 情報のラベル付け | 5.13 | 情報のラベル付け |
| 8.2.3 | 資産の取り扱い | 5.1 | 情報及び関連する資産の許容範囲 (8.1.3含む) |
| 8.3.1 | 取外し可能な媒体の管理 | 7.1 | 記録媒体 (11.2.5含む) |
| 8.3.2 | 媒体の処分 | ||
| 8.3.3 | 物理的媒体の輸送 | ||
| 9.1.1 | アクセス制御方針 | 5.15 | アクセス制御 |
| 9.1.2 | ネットワーク及びネットワークサービスへのアクセス | ||
| 9.21 | 利用者登録及び登録解除 | 5.16 | アイデンティティ管理 |
| 9.2.2 | 利用者アクセスの提供 | 5.18 | アクセス権 (9.2.5、9.2.6含む) |
| 9.2.3 | 特権的アクセス権の管理 | 8.2 | 特権的アクセス権 |
| 9.2.4 | 利用者の秘密認証情報の管理 | 5.17 | 認証情報 (9.3.1、9.4.3含む) |
| 9.2.5 | 利用者アクセス権のレビュー | 5.18 | アクセス権 (9.2.2含む) |
| 9.2.6 | アクセス権の削除又は修正 | ||
| 9.3.1 | 秘密認証情報の利用 | 5.17 | 認証情報 (9.2.4、9.4.3含む) |
| 9.4.1 | 情報へのアクセス制限 | 8.3 | 情報へのアクセス制限 |
| 9.4.2 | セキュリティに配慮したログオン手順 | 8.5 | セキュリティに配慮した認証 |
| 9.4.3 | パスワード管理システム | 5.17 | 認証情報 (9.2.4、9.3.1含む) |
| 9.4.4 | 特権的なユーティリティプログラムの使用 | 8.18 | 特権的なユーティリティプログラムの使用 |
| 9.4.5 | プログラムソースコードへのアクセス制御 | 8.4 | ソースコードへのアクセス |
| 10.1.1 | 暗号による管理策の利用方針 | 8.24 | 暗号の利用 |
| 10.1.2 | 鍵管理 | ||
| 11.1.1 | 物理的セキュリティ境界 | 7.1 | 物理的なセキュリティ境界線 |
| 11.1.2 | 物理的入退管理策 | 7.2 | 物理的入退 (11.1.6含む) |
| 11.1.3 | オフィス、部屋及び施設のセキュリティ | 7.3 | オフィス、部屋及び施設のセキュリティ |
| 11.1.4 | 外部及び環境の脅威からの保護 | 7.5 | 物理的及び環境的な脅威からの保護 |
| 11.1.5 | セキュリティを保つべき領域での作業 | 7.6 | セキュリティを保つべき領域での作業 |
| 11.1.6 | 受渡場所 | 7.2 | 物理的入退 (11.1.2含む) |
| 11.2.1 | 機器の設置及び保護 | 7.8 | 機器の設置及び保護 |
| 11.2.2 | サポートユーティリティ | 7.11 | サポートユーティリティ |
| 11.2.3 | ケーブル配線のセキュリティ | 7.12 | ケーブル配線のセキュリティ |
| 11.2.4 | 装置の保守 | 7.13 | 装置の保守 |
| 11.2.5 | 資産の移動 | 7.1 | 記録媒体 (8.3.1、8.3.2、8.3.3含む) |
| 11.2.6 | 構外にある機器及び資産のセキュリティ | 7.9 | 構外にある資産のセキュリティ |
| 11.2.7 | 装置のセキュリティを保った処分又は再利用 | 7.14 | 装置のセキュリティを保った処分又は再利用 |
| 11.2.8 | 無人状態にある利用者装置 | 8.1 | ユーザーエンドポイント機器 (6.2.1含む) |
| 11.2.9 | クリアデスク・クリアスクリーン方針 | 7.7 | クリアデスク及びクリアスクリーン |
| 12.1.1 | 操作手順書 | 5.37 | 操作手順書 |
| 12.1.2 | 変更管理 | 8.32 | 変更管理 (14.2.2、14.2.3、14.2.4も含む) |
| 12.1.3 | 容量・能力の管理 | 8.6 | 容量・能力の管理 |
| 12.1.4 | 開発環境、試験環境及び運用環境の分離 | 8.31 | 開発環境、試験環境及び運用環境の分離 (14.2.6含む) |
| 12.2.1 | マルウェアに対する管理策 | 8.7 | マルウェアからの保護 |
| 12.3.1 | 情報のバックアップ | 8.13 | 情報のバックアップ |
| 12.4.1 | イベントログ取得 | 8.15 | ログ取得 |
| 12.4.2 | ログ情報の保護 | ||
| 12.4.3 | 実務管理者及び運用担当者の作業ログ | ||
| 12.4.4 | クロックの同期 | 8.17 | クロックの同期 |
| 12.5.1 | 運用システムに関わるソフトウェアの導入 | 8.19 | 運用システムに関わるソフトウェアの導入 (12.6.2含む) |
| 12.6.1 | 技術的ぜい弱性の管理 | 8.8 | 技術的ぜい弱性の管理 (18.2.3含む) |
| 12.6.2 | ソフトウェアのインストールの制限 | 8.19 | 運用システムに関わるソフトウェアの導入 (12.5.1含む) |
| 12.7.1 | 情報システムの監査に対する管理策 | 8.34 | 監査試験時の情報システムの保護 |
| 13.1.1 | ネットワーク管理策 | 8.2 | ネットワークのセキュリティ |
| 13.1.2 | ネットワークサービスのセキュリティ | 8.21 | ネットワークサービスのセキュリティ |
| 13.1.3 | ネットワークの分離 | 8.22 | ネットワークの分離 |
| 13.2.1 | 情報転送の方針及び手順 | 5.14 | 情報転送 |
| 13.2.2 | 情報転送に関する合意 | ||
| 13.2.3 | 電子的メッセージ通信 | ||
| 13.2.4 | 秘密保持契約又は守秘義務契約 | 6.6 | 秘密保持契約又は守秘義務契約 |
| 14.1.1 | 情報セキュリティ要求事項の分析及び仕様化 | 5.8 | プロジェクトマネジメントにおける情報セキュリティ (6.1.5含む) |
| 14.1.2 | 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 | 8.26 | アプリケーションのセキュリティ要求事項 |
| 14.1.3 | アプリケーションサービスのトランザクションの保護 | ||
| 14.2.1 | セキュリティに配慮した開発のための方針 | 8.25 | セキュリティに配慮した開発のライフサイクル |
| 14.2.2 | システムの変更管理手順 | 8.32 | 変更管理 (12.1.2含む) |
| 14.2.3 | オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー | ||
| 14.2.4 | パッケージソフトウェアの変更に関する制限 | ||
| 14.2.5 | セキュリティに配慮したシステム構築の原則 | 8.27 | セキュリティに配慮したシステムアーキテクチャとエンジニアリングの原則 |
| 14.2.6 | セキュリティに配慮した開発環境 | 8.31 | 開発環境、試験環境及び運用環境の分離 (12.1.4含む) |
| 14.2.7 | 外部委託による開発 | 8.3 | 外部委託による開発 |
| 14.2.8 | システムセキュリティの試験 | 8.29 | 開発及び受入時のセキュリティの試験 |
| 14.2.9 | システムの受入れ試験 | ||
| 14.3.1 | 試験データの保護 | 8.33 | 試験情報 |
| 15.1.1 | 供給者関係のための情報セキュリティの方針 | 5.19 | 供給者関係における情報セキュリティ |
| 15.1.2 | 供給者との合意におけるセキュリティの取り扱い | 5.2 | 供給者との合意における情報セキュリティの取り扱い |
| 15.1.3 | ICT サプライチェーン | 5.21 | ICTサプライチェーンにおける情報セキュリティの管理 |
| 15.2.1 | 供給者のサービス提供の監視及びレビュー | 5.22 | 供給者のサービス提供の監視、レビュー及び変更管理 |
| 15.2.2 | 供給者のサービス提供の変更に対する管理 | ||
| 16.1.1 | 責任及び手順 | 5.24 | 情報セキュリティインシデント管理の計画及び準備 |
| 16.1.2 | 情報セキュリティ事象の報告 | 6.8 | 情報セキュリティ事象の報告 |
| 16.1.3 | 情報セキュリティ弱点の報告 | ||
| 16.1.4 | 情報セキュリティ事象の評価及び決定 | 5.25 | 情報セキュリティ事象の評価及び決定 |
| 16.1.5 | 情報セキュリティインシデントへの対応 | 5.26 | 情報セキュリティインシデントへの対応 |
| 16.1.6 | 情報セキュリティインシデントからの学習 | 5.27 | 情報セキュリティインシデントからの学習 |
| 16.1.7 | 証拠の収集 | 5.28 | 証拠の収集 |
| 17.1.1 | 情報セキュリティ継続の計画 | 5.29 | 障害時の情報セキュリティ |
| 17.1.2 | 情報セキュリティ継続の実施 | ||
| 17.1.3 | 情報セキュリティ継続の検証、レビュー及び評価 | ||
| 17.2.1 | 情報処理施設の可用性 | 8.14 | 情報処理施設の冗長性 |
| 18.1.1 | 適用法令及び契約上の要求事項の特定 | 5.31 | 法律、法令、規制及び契約上の要求事項 (18.1.5含む) |
| 18.1.2 | 知的財産権 | 5.32 | 知的財産権 |
| 18.1.3 | 記録の保護 | 5.33 | 記録の保護 |
| 18.1.4 | プライバシー及び個人を特定できる情報 (PII) の保護 | 5.34 | プライバシー及び個人を特定できる情報 (PII) の保護 |
| 18.1.5 | 暗号化機能に対する規制 | 5.31 | 法律、法令、規制及び契約上の要求事項 (18.1.1含む) |
| 18.2.1 | 情報セキュリティの独立したレビュー | 5.35 | 情報セキュリティの独立したレビュー |
| 18.2.2 | 情報セキュリティのための方針群及び標準の順守 |
5.3.6 & 8.8 |
情報セキュリティに関する方針群、規則及び規格への適合性 |
| 18.2.3 | 技術的順守のレビュー | 技術的ぜい弱性の管理 |
また、以下は、2022年度版で新たに追加された11の管理策となります。
| 2013年版 管理策番号 |
2013年版の管理策 | 2022年版 管理策番号 |
2022年版 の管理策 |
| 5.7 | 脅威インテリジェンス | ||
| 5.23 | クラウドサービス利用時の情報セキュリティ | ||
| 5.30 | 事業継続のためのICT準備度 | ||
| 7.4 | 物理的なセキュリティ監視 | ||
| 8.9 | 構成管理 | ||
| 8.1 | 情報の削除 | ||
| 8.11 | データマスキング | ||
| 8.12 | データ漏えい防止 | ||
| 8.16 | 監視活動 | ||
| 8.23 | Webフィルタリング | ||
| 8.28 | セキュアコーディング |
すでに、ISO/IEC 27001: 2013の認証を取得している組織としては、2022年度版への改訂に伴って、管理策が大幅に変更されていることから、管理策の番号の変更、新たな管理策の特定などを行い、適用宣言書の改訂が必要になります。
また、管理策の見直しに伴い、ISMS文書、プロセス、手順の変更が必要となる場合があります。この際、既存の管理策について、順守するために、これまでのやり方を継続するのか、これまでと異なるやり方を行う必要があるかどうかを確認する必要があります。
対応が必要な新たな管理策については、日々の業務に組み込んで、適合の証拠を得るために、現在の作業を変更する必要があります。
2022年度版への移行期限までは、1年半以上ありますが、上記で述べた管理策の見直し、文書・プロセス・手順の変更などを行い、2022年度版への移行審査を受け、認証を受けるまでの期間を考慮すると、2024年中に対応を行われることをお勧めします。