2022年10月にISO/IEC27001(以下、「ISMS」という)が改訂されました。ISMSに対応したJIS規格も改訂され、JIS Q 27001:2023 として、2023年9月20日に発行されております。これらに先立ち、2022年2月に、ISMSの管理策の導入・運用に関するガイダンスであるISO/IEC 27002が改訂され、それに整合性を保った形でISMSが改訂されております。既にISMSの認証を取得している企業様は、新規格への移行期間が3年間となっているため、2022年10月31日から3年後に当たる2025年10月31日までに新規格への移行審査を通過する必要があります。
新規格では、管理策が114から93に減っております。しかし、管理策が統合されたことによる削減であり、管理すべき事項は減っておりません。また、新規格では、11の管理策が追加されております。追加された管理策は以下のとおりです。
- 5.7 脅威インテリジェンス
- 5.23 クラウドサービス利用のための情報セキュリティ
- 5.30 ビジネス継続のための ICT の備え
- 7.4 物理的セキュリティ監視
- 8.9 設定管理
- 8.10 情報の削除
- 8.11 データマスキング
- 8.12 データ漏洩の防止
- 8.16 監視活動
- 8.23 ウェブフィルタリング
- 8.28 セキュアコーディング
今回の改訂を見ると、前回の改訂に比べると大きな変更は少ないと思われます。ある程度形ができあがった規格に最近の動向に関わる管理策を一部追加したといった感じです。例えば、クラウドに対する管理策や、高度化した脅威に対する管理策などは最近の脅威に合わせて追記された内容ではないでしょうか。
また、今回の改訂で管理策が4つの分類に分かれました。組織的管理策、人的管理策、物理的管理策、技術的管理策となっています。この分類も運用する側としては、社内のISMS規定をこの括りで纏めた方がわかりやすいので、有難いです。
新規格への移行に関しては、この記事を執筆時点ではまだ全然進んでおらず、やっと動き出してきたという感じです。これから移行の準備をされるという組織や、今まさに移行に向けて真っ只中という組織も多いのではないでしょうか。今回の規格改訂では大きな変更は少なかったので、規格に沿った社内のISMS規定の見直しはそれほど大変ではないと思います。ただ、これを機に、社内のISMS規定やルールを一旦見直し、現状の組織に沿った形に変えるのも良いと思います。
新規にISMSの認証を取得される組織は、より現状のセキュリティ脅威に合ったISMSに改訂されたことで、自社のセキュリティを適切に管理したい場合は導入をお勧めできます。ISMSは仕組みであり、ISMSを導入したから情報セキュリティが強化される訳ではありません。その仕組みの中で自社に合ったセキュリティ体制を構築し、必要な対策を行い、PDCAを回すことにより、組織にとって最適なセキュリティ環境を手に入れることができると思っております。
