PR

ISO27001と27002の2022年改訂:管理策が114個から追加含め93個に統合

ISMS-2022年版
2023.01.23

2022年に、ISMS(情報セキュリティマネジメントシステム)のISO要求事項(ISO/IEC27001)と管理策(ISO/IEC27002)が改訂されました。

JIS版(日本語版)JISQ27001:2023として、2023年9月に発行されました。

要求事項について大きな変更はありませんが、管理策は統合と追加がありますので、ISMSの見直しが必要になります。JIS版発行までにまだ時間はありますので、自社の情報セキュリティについて見直すよい機会にもなると考えています。

ISMSに関連する以下のISO規格について、2023年12月現在の情報をまとめました。

スポンサーリンク

ISMSに関する最新のISO規格

ISMSに関連する主な規格は、用語、要求事項、管理策に関連する3つの規格があります。

下表にISMSに関するISO規格とJIS規格の2023年12月現在の発行状況を示します。

なお、JISQ27002:2022は、原案が公表されパブリックコメントの受付が2024年1月14日迄となっています。

  ISO/IEC規格 JIS規格
用語

ISO/IEC27000:2018

Information technology

– Security techniques

– Information security management systems

– Overview and vocabulary

JISQ27000:2019

情報技術-セキュリティ技術

-情報セキュリティマネジメントシステム

-用語
要求事項

ISO/IEC27001:2022

Information security, cybersecurity and privacy protection

– Information security management systems

– Requirements

JISQ27001:2023

情報セキュリティ-、サイバーセキュリティ及びプライバシー保護

-情報セキュリティマネジメントシステム

-要求事項
管理策

ISO/IEC27002:2022

ISO/IEC 27002:2022
Information security, cybersecurity and privacy protection

– Information security controls

JISQ27002:2014

情報技術-セキュリティ技術

-情報セキュリティ管理策の実践のための規範

※2022年版は2024年発行見込み

ISO27001とISO27002との関係

ISMSがQMSと違う点でもあるのですが、ISO27001と27002との関係について補足します。

ISO27001は、情報セキュリティに関する要求事項が書かれています。また、「付属書A」として情報セキュリティリスクとその管理策について書かれています。

ISO27002は、ISO27001の「付属書A」の管理策を具体的に書かれています。

このため、ISO27002は、ISO27001のガイダンス規格と呼ばれることもあります。

ISMSの要求事項(ISO27001)と管理策(ISO27002)の改訂

ISO/IEC27001:2022の改訂内容

ISO/IEC27001:2022は、2022年2月に改訂されました。

2013年版から約10年ぶりの改訂です。

2022年版の改訂内容は、次の2点になります。

  • 要求事項の大きな変更はない。(共通テキスト)
  • 2022年2月に改訂されたISO27002との整合性を取る。

共通テキストについては、以下の記事もご参照ください。

ISO9001やISO14001等の整合化ルール「附属書:共通テキスト」について
ISO9001(品質)、ISO14001(環境)やISO/IEC27001(情報セキュリティ)等のISOマネジメント規格の整合化(文章構造や用語の定義等)を図るために作られた付属書の共通テキストと、要求事項の比較例等についてまとめています。
pdcatovision.com
2022.05.08

このため、改訂内容は、「付属書A」の内容が主になります。

はかせ
はかせ

「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスクに対応するために必要な管理策を定めたものです。

管理策については、ISO27002との関連があります。

JIS版(日本語版)がまだ発行されていませんので、管理策の変更内容について以下説明します。

管理策の削減:114個から93個へ

管理策の数が、114個から93個に減りました。

ただし、旧管理策を統合した場合もあり、単純に管理策の数が減ったわけではないことに注意が必要です。

はかせ
はかせ

要求されている管理策と実際にやっている管理策の確認が必要です。

管理策の追加:11個追加

現在のICTサービスへの対応のためだと推測していますが、クラウドサービスやITからICTへの変化などの管理策が追加されています。

管理策のテーマ

管理策が以下の4つのテーマに分類されました。

  • 「組織的」管理策
  • 「人的」管理策
  • 「物理的」管理策
  • 「技術的」管理策

実際に情報セキュリティの管理をする場合には、利用者や管理者、システムとインフラとの違いなどもありますので、管理策の見直しを含めた検討の際にも理解しやすくなると考えています。

スポンサーリンク

まとめ

2022年に、ISMS(情報セキュリティマネジメントシステム)のISO要求事項(ISO27001)と管理策(ISO27002)が改訂されました。

JIS版(日本語版)は、2023年中に発行される予定です。

要求事項について大きな変更はありませんが、管理策は統合と追加がありますので、ISMSの見直しが必要になります。

ISMSのISO規格2022年版の改訂内容について、以下の項目でまとめました。

  • ISMSに関する最新のISO規格
    • ISO27001とISO27002との関係
  • ISMSの要求事項(ISO27001)と管理策(ISO27002)の改訂
    • ISO/IEC27001:2022の改訂内容
    • 管理策の削減:114個から93個へ
    • 管理策の追加:11個追加
    • 管理策のテーマ
スポンサーリンク
タイトルとURLをコピーしました