- 「ISMSの新規格って何が変わったの?」
- 「新規格に対応するためには具体的に何をすればいいの?」
そのようにお考えの情報システム担当者もいらっしゃると思います。
この記事では、2022年10月に改訂されたISMSの新規格がこれまでの規格と何が違うのか、新規格ではどのような対応をしなければならないかを解説します。
ISMSの新規格についてよくわからない、どのような対応をしなければならないか知りたいという担当者は、ぜひこの記事を読み進めていただき、スムーズに新規格へ対応できるよう、ポイントを押さえていきましょう。
目次
ISMSの新規格でめざすもの
2022年10月25日にISMSの審査基準であるISO27001が新規格へ改訂されました。
これは、ISO27001の附属書Aのもとになっている「ISO27002」が、2022年2月に改訂されたことに伴うものです。
新しいISO27001の正式名称は以下のようになりました。
ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information
security management systems — Requirements
(情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項)
ISMS-AC(一般社団法人情報マネジメントシステム認定センター)ー「ISO/IEC 27001:2022発行のお知らせ」ー「1.規格改定」
今回のISMSより、以下が新規格でめざすものの3本柱となってきます。
- 情報セキュリティ
- サイバーセキュリティ
- プライバシー保護
改定前のISO/IEC 27001:2013では、「情報技術」「セキュリティ技術」に焦点があてられていました。
ISO規格は時代の変化に応じて更新され、特にISO27001は、クラウドの普及とプライバシー保護の必要性の高まり、サイバー攻撃の多様化、およびプライバシー関連法規の影響を受けています。これらの変化により、2013年版から乖離が生じ、9年ぶりに改訂が行われました。
ISMSの新規格で変更されたこと
では、内容としてどのような変更があったのでしょうか。
大きく言えるのは、「附属書A」における以下の2点です。
- 管理策の数の変更
- 管理策の区分変更
それぞれ順番に解説します。
管理策の数の変更
新規格では、附属書Aの管理策の数が変更されました。
これまでは、附属書Aには114個の管理策がありましたが、今回の改定により、114個から93個へ減少しました。
しかし、減ったからといって、内容が削られてしまったわけではなく、これまでの内容を保ったまま、あらたな概念を11個付け足して再整理し、93個にまとめたという感じになっています。
そのため、管理策の数は減りましたが、内容は以前より増えているということになります。
以下は、2022年に改訂されたISMSの新規格において追加された管理策の一覧とその目的です
【①.脅威インテリジェンス】
脅威インテリジェンス(Threat Intelligence)とは、簡単に言えば、「今、どんなサイバー攻撃が流行っていて、自分の会社にどんな危険があるのか」を知り、それに備えるための情報を集める活動です。ランサムウェアやマルウェアなどのサイバー攻撃の手法は日々進化しているため、新しい攻撃手法を知ることは対策の重要な一歩です。
弊社のメルマガではそんなサイバー攻撃の事例を紹介したり、新しいセキュリティ情報を共有しておりますので、ぜひ、この機会にご登録ください。
【②.クラウドサービス利用のための情報セキュリティ】
これまでのISO27002は、2013年に作られたもののため、「クラウドサービス」に関する情報セキュリティの記載がありませんでした。近年増えているクラウドサービスの情報セキュリティに対応するために追加されました。
【③.ビジネス継続のためのICTの備え】
災害やハッキングなどの危機的なアクシデントが起きたときに、引き続き、情報の「気密性」「完全性」「可用性」が保たれるように、事前に備えてくださいというものです。
【④.物理的セキュリティの監視】
監視カメラの設置、警備員の配置など、会社の敷地や建物内に不正なアクセスがないか監視してくださいというものです。
【⑤.構成管理】
社内で使われているシステムの構成、ハードウェア・ソフトウェアの種類、ネットワークの構成などを文書化して管理してくださいというものです。
【⑥.情報の削除】
使わなくなった情報は、システムやパソコン、USBメモリなどの外部記録媒体からすみやかに削除しましょうというものです。個人情報保護法にも同じような規定があります。
【⑦.データマスキング】
データの一部を隠したり、匿名化したりして、万が一情報が漏えいしても、個人を特定できないような取り組みをしてくださいというものです。
例えば、システム開発やテストの際、本番環境の顧客データをそのまま使うのは危険です。データマスキングを利用して、テスト中はデータをマスクされた状態で使用し、開発者が実際のデータにアクセスできないようにすることで対応できます。
【⑧.データ漏えいの防止】
社内のネットワークから、機密情報や個人情報が漏れているような動きがないか確認し、未然に防止するような取り組みをしてくださいというものです。
【⑨.監視活動】
システムのログの監視や負荷の監視などをおこない、異常が動作がないか、情報漏えいにつながるような動きがないかを定期的に監視して、事故が起こりそうなことがあれば速やかに対処してくださいというものです。
【⑩.ウェブフィルタリング】
社内から、情報漏えいにつながるような危険なWebサイトを見れないように対策してくださいというものです。
【⑪.セキュアコーディング】
ソフトウェアを開発したり社内システムを構築したりするときに、セキュアコーディングによるコーディングをおこない、外部攻撃に耐えうるシステムを作ってくださいというものです。
上記のような内容を含めることにより、現在の情報セキュリティを取り巻く変化に対応するものになっています。
管理策の区分変更
今回の改定で、管理策の区分が大きく4区分に変更されました。
再整理されて、新たにできた4区分は以下の通りです。
- 組織的管理策
- 人的管理策
- 物理的管理策
- 技術的管理策
これまでは、14章のテーマで作られていましたが、大きく4区分に見直され、現代で求められている情報セキュリティ管理にふさわしい区分に作り変えられました。
ISMSの新規格で対応すべきこと
ISMSが新規格に変わることにより、ISMSを既に取っている会社でも対応しなければならないことがあります。
ISMSの新規格で対応しなければならないことは、以下の3点です。
- リスクアセスメント関連の書類の見直し
- 適用宣言書の書き換え
- 社内規定の見直しと運用変更
それぞれ順番に解説します。
リスクアセスメント関連の書類の見直し
附属書Aの内容が変わったことにより、リスクアセスメント関連の書類に書かれている内容が対応できているか確認しましょう。
なぜなら、前述の通り、新しい附属書Aは、全体数は減ったものの、新たな項目が11個追加されているからです。
これまでのリスクアセスメント関連の書類には書いてないものも、新しい附属書Aに含まれていることがあります。
そのため、両者を照らし合わせてリスクアセスメント関連の書類を見直しておきましょう。
適用宣言書の書き換え
適用宣言書も、新しい附属書Aにもとづいて書き換えなければいけません。
なぜなら、適用宣言書は従来の管理策の構成にもとづいて作成されているものだからです。
管理策そのものの大きな変更はありませんが、「構成」が変更となるため、書き換えが必要です。
社内規程の見直しと運用変更
ISMSの新規格化に伴い、社内規程の見直しと、それにそった運用の変更が必要となります。
なぜなら、附属書Aに新しく11個の対処策が追加されたからです。
新しいセキュリティ対策が増えるので、そのセキュリティ対策を規程の中に明文化して、社内周知し運用しなければなりません。
社内の従業員やシステムが、新しい規格に対応して運用されている状態にする必要があります。
ISMSの新規格への移行期限(猶予期間は3年)
「新規格に変わるから、すみやかに社内規程を変えなければ」とお考えになる担当者もいらっしゃると思います。
しかし、今回の新規格への改訂には「移行期限」が設けられています。
そのため、焦って対応する必要はありません。
ISO27001:2022は、2022年10月25日に正式発表されましたが、認証の移行期限は、2022年10月31日から3年間、つまり2025年10月31日の審査までに対応できればいいということになります。(参考:ISMS-AC(一般社団法人情報マネジメントシステム認定センター)ー「ISO/IEC 27001:2022発行のお知らせ」ー「2.認証取得組織の対応」)
「いや、日本語版(JIS Q 27001:2022?)が出てないじゃないか」と思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。
また、今回は、附属書Aが改訂されるということですから、適用宣言書の全面改訂が必要とですが、貴社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。
また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありませんので、ご安心ください。
ISMS取得のご相談ならオプティマ・ソリューションズへ!
弊社は創業後の20年間で3,500件を超える支援を行ってきました。
さらに、弊社には次の強みがあります。
- メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
- 月々定額の分割払いができる
- 東京、大阪、名古屋に支社がある
- オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
- 使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
弊社ではISMS認証の取得・更新をする以上に、御社の社内環境や社外のお客様の質まで変えていけるように全力でサポート致します。
お客様が新しい知識と情報を理解し、自社の業務にそれを適用することで、何らかの改善が実現しお客様も喜ぶ。そんな状態を理想と考えているからです。
これからISMS認証を取得される、または、更新をご希望される事業者様はぜひ、お気軽にご相談下さい。
