ISMS要求事項「JIS Q 27001：2023」でリスクアセスメントのヒントに

2022年に、ISMS（情報セキュリティマネジメントシステム）のISO要求事項（ISO/IEC27001）と管理策（ISO/IEC27002）が改訂されています。

2023年9月、JIS版（日本語版）JISQ27001：2023が発行されていますが、JISQ27002は2024年の発行となりそうです。

要求事項について大きな変更はありませんが、ISMSの管理策については統合と追加がありますので、ISMSの見直しが必要になります。

QMS（ISO9000シリーズ）ではいわゆるリスクマネジメントまでは求められていませんが、ここでは、ISMSのリスクマネジメントをヒントにして、QMSの範囲の情報セキュリティについて考える際のポイントについてまとめています。

ISMSとは

ISMS（情報セキュリティマネジメントシステム）に関連するJIS規格は、ISO27000シリーズの要求事項と管理施策の2本立てとなっており、用語を含め3つの規格があります。

「JISQ27000：2019　情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語」

「JISQ27001：2023　情報セキュリティ－、サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項」

「JISQ27002：2014　情報技術－セキュリティ技術－情報セキュリティ管理策の実践のための規範」

JISQ27002（ISO/IEC27002：2022）については、以下の改正が行われ、

最近の状況に応じた内容になります。

ここでは、ISMSの新しい要求事項

「JISQ27001：2023　情報セキュリティ－、サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項」

を、QMSでの情報セキュリティの参考になる部分を説明します。

QMS（ISO9000シリーズ）では、リスクマネジメントまでは求められていませんが、情報セキュリティについてのリスク管理の参考になると考えています。

JISQ27001：2023の要求事項で参考になる箇条を以下に示します。

6　計画策定

6.1　リスク及び機会に対処する活動

6.1.2　情報セキュリティリスクアセスメント

6.1.3　情報セキュリティリスク対応

ポイントを列挙します。

リスク及び機会に対処する活動について、「継続的改善が求められている」ことに注意が必要です。
6.1.2では、情報セキュリティリスクアセスメントのプロセスを定めることが求められています。情報セキュリティのリスク基準にリスクの受容や、リスクアセスメントの実施基準を定めることなど、必要なプロセスと具体的な内容のヒントになると思います。
6.1.3では、情報セキュリティリスク対応のプロセスを定めることが求められています。JISQ27002の管理策の使い方も含まれています。JISQ27001：2023の付属書にも管理策が記載されていますが、これは、JISQ27002（ISO/IEC27002：2022）を取り入れたものとなります。

なお、「10.1　継続的改善」では、ISMSが適切、妥当、かつ、有効であることを継続的に改善することが求められています。