はじめに
2022年10月25日にISO/IEC 27001が改訂され1年が過ぎましたが、ISMS認証の取得や継続・更新を予定されている組織の担当者の方々は、滞りなく改訂版への移行対応を実施されておりますでしょうか。
ISO/IEC 27001が改訂されたことに伴い、ISMS認証を取得済みの組織は、改訂版への移行対応が必要となりましたが、ISO/IEC 27001:2013(JIS Q 27001:2014)(以下、「現行版」)からISO/IEC 27001:2022(以下、「改訂版」)への移行には、認証移行期限や現行版による新規の認証審査(初回認証審査)及び再認証審査(更新審査)の開始期限があります。
そのため、ISMS認証取得済みの組織やこれからISMS認証を取得する組織は、それぞれの期限(図1)に向けて対応を進めていることと思います。
図1:審査ごとの移行期間
今回の9年ぶりとなった改訂では、大きく変わった点として管理策の変化があげられます。現行版で114項目あった管理策が、他の管理策と統合されるなどして改訂版では93項目へと21項目減少している反面、新たな管理策が11個追加されています。
分類(カテゴリ)の変化
現行版の管理策(表1)は、A.5~A.18に分類されていましたが、改訂版の管理策(表2)では「組織的な管理策」、「人的な管理策」、「物理的な管理策」、「技術的な管理策」の4つのカテゴリに大きく分けられています。
ISO/IEC 27001:2023(114項目) | ||
---|---|---|
A.5 | 情報セキュリティのための方針群 | 2項目 |
A.6 | 情報セキュリティのための組織 | 7項目 |
A.7 | 2項目 | |
A.5 | 人的資源のセキュリティ | 6項目 |
A.8 | 資産の管理 | 10項目 |
A.9 | アクセス制御 | 14項目 |
A.10 | 暗号 | 2項目 |
A.11 | 物理的および環境的セキュリティ | 15項目 |
A.12 | 運用のセキュリティ | 14項目 |
A.13 | 通信のセキュリティ | 7項目 |
A.14 | システムの取得、開発及び保守 | 13項目 |
A.15 | 供給者関係 | 5項目 |
A.16 | 情報セキュリティインシデント管理 | 7項目 |
A.17 | 事業継続マネジメントにおける情報セキュリティの側面 | 4項目 |
A.18 | 順守 | 8項目 |
表1:現行版の管理策
ISO/IEC 27001:2022(93項目) | |
---|---|
組織的な管理策 | 37項目 |
人的な管理策 | 8項目 |
物理的な管理策 | 14項目 |
技術的な管理策 | 34項目 |
表2:改訂版の管理策
追加管理策
前述の通り、今回の改訂では管理策全体の数が減った一方で、11個の新たな管理策(表3)が追加されております。
ISO/IEC 27001:2022(追加された11の管理策) | |
---|---|
5.7 | 脅威インテリジェンス |
5.23 | クラウドサービス利用時における情報セキュリティ |
5.30 | 事業継続のためのICTの備え |
7.4 | 物理的なセキュリティ監視 |
8.9 | 構成管理 |
8.10 | 情報の削除 |
8.11 | データマスキング |
8.12 | データ漏えい防止 |
8.16 | 監視活動 |
8.23 | ウェブフィルタリング |
8.28 | セキュアコーディング |
表3:追加された管理策
セキュリティリスク分析で管理策の適用を検討する際、追加された管理策を含め、管理策の内容を適切に理解している必要があります。
例えば、「クラウドサービス利用時における情報セキュリティ(5.23)」では、「組織の情報セキュリティ要件に従って、クラウドサービスの取得、使用、管理、および終了のプロセスを確立する」ことになります。
現在は、企業におけるクラウドサービスの活用が進んでいることもあり、クラウドサービス利用時にセキュリティ対策を実施することは、一般的な対策となってきたと思いますが、この管理策ではプロセスの確立を求めています。そのため、個々のシステムでクラウドサービスを利用する際にセキュリティ対策を意識する実態があるだけではなく、ISMSの適用範囲においては、クラウドサービス活用に関するルールが策定され、運用されていることも求められます。
現行版でISMS認証を取得した組織の中には、クラウド利用のルールを整備するために、ISO/IEC 27017(クラウドサービスセキュリティ管理策)を活用して強化した組織もあると思います。改訂版への移行対応では、すべて新しく整えるのではなく、整備したクラウドサービス利用ルールを活用して要求事項を満たすといった工夫をすることが、移行期限までに対応するためにも望ましいと考えます。
求められる平素と違う対応
管理策の変化は、管理策に基づくセキュリティポリシー、スタンダード、プロシージャ、その他手順書等の見直しや更新につながるため、組織のISMSを主管する組織(以下、ISMS事務局)だけでなく、プロシージャや手順書を利用している組織においても、組織固有のセキュリティ文書(手順書や様式等)の見直しが発生することとなります。これまでとは違った作業の発生に戸惑った方も多かったと推察します。
また、ISMS事務局では、新たな管理策の適用を判断するため、リスク分析の実施において新たな管理策の適用を検討したり、適用結果に伴うポリシー文書等を見直したり、適用宣言書を再検討したりと、実施作業が大変多かったのではないでしょうか。特に今回は、一連の管理策が大幅に更新されているため、管理策の番号の変更や表題の更新に手間がかかることから、管理策の分類に従った文書構造をとっていた場合、セキュリティポリシーの目次構成から見直しになる可能性もあります。
特定の範囲の組織でISMS認証を取得している場合は、前述の管理策に対しても具体的な対策の検討に目途がつけやすいと思いますが、組織全体を範囲としてISMS認証を取得している場合、組織全体ルールの整備から始めて、それを組織・システム単位に具体化することになるため、時間も手間もかかると思います。
円滑な改訂対応に向けて
リスク分析結果の見直しやドキュメント類の見直しは、平素の事務局運営体制では対応できないことも考えられ、必要に応じて外部の支援を受けることもあるでしょう。
外部支援先としては、ISMS認証を取得する際に審査してもらった審査機関に相談することが初手となると思いますが、アドバイスだけでなくリスク分析作業やセキュリティ文書の見直しといった作業を期待するとなると、コンサルタントの活用なども選択肢となってきます。
NTT DATAでは、セキュリティリスク分析やポリシー、スタンダード、プロシージャといったセキュリティ文書の作成・改訂についてもご支援していますので、支援が必要であればお声がけください。