PR

ISMS要求事項「JIS Q 27001:2023」でリスクアセスメントのヒントに

ISMS-2024年版

2022年に、ISMS(情報セキュリティマネジメントシステム)のISO要求事項(ISO/IEC27001)と管理策(ISO/IEC27002)が改訂されています。

2023年9月、JIS版(日本語版)JISQ27001:2023が発行されていますが、JISQ27002は2024年の発行となりそうです。

要求事項について大きな変更はありませんが、ISMSの管理策については統合と追加がありますので、ISMSの見直しが必要になります。

QMS(ISO9000シリーズ)ではいわゆるリスクマネジメントまでは求められていませんが、ここでは、ISMSのリスクマネジメントをヒントにして、QMSの範囲の情報セキュリティについて考える際のポイントについてまとめています。

スポンサーリンク

ISMSとは

ISMS(情報セキュリティマネジメントシステム)に関連するJIS規格は、ISO27000シリーズの要求事項と管理施策の2本立てとなっており、用語を含め3つの規格があります。

「JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」

「JISQ27001:2023 情報セキュリティ-、サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」

「JISQ27002:2014 情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範」

  • なお、JISQ27002(ISO/IEC27002:2022)の発行は、2024年となりそうです。

JISQ27002(ISMS管理策)についての補足

JISQ27002(ISO/IEC27002:2022)については、以下の改正が行われ、

  • 11項目の管理策を新規追加
  • 従来の管理策114項目のうち58項目を更新、残りの管理策を24項目に統合

最近の状況に応じた内容になります。

JIS Q 27001:2023(ISMS要求事項)について

ここでは、ISMSの新しい要求事項

「JISQ27001:2023 情報セキュリティ-、サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」

を、QMSでの情報セキュリティの参考になる部分を説明します。

リスクアセスメントについて

QMS(ISO9000シリーズ)では、リスクマネジメントまでは求められていませんが、情報セキュリティについてのリスク管理の参考になると考えています。

JISQ27001:2023の要求事項で参考になる箇条を以下に示します。

6 計画策定

6.1 リスク及び機会に対処する活動

6.1.2 情報セキュリティリスクアセスメント

6.1.3 情報セキュリティリスク対応

ポイントを列挙します。

  • リスク及び機会に対処する活動について、「継続的改善が求められている」ことに注意が必要です。
  • 6.1.2では、情報セキュリティリスクアセスメントのプロセスを定めることが求められています。情報セキュリティのリスク基準にリスクの受容や、リスクアセスメントの実施基準を定めることなど、必要なプロセスと具体的な内容のヒントになると思います。
  • 6.1.3では、情報セキュリティリスク対応のプロセスを定めることが求められています。JISQ27002の管理策の使い方も含まれています。JISQ27001:2023の付属書にも管理策が記載されていますが、これは、JISQ27002(ISO/IEC27002:2022)を取り入れたものとなります。

なお、「10.1 継続的改善」では、ISMSが適切、妥当、かつ、有効であることを継続的に改善することが求められています。

ISMSとQMSとの違い

ISMSがQMSと違う点でもあるのですが、ISMSは、ISO27001と27002の2本立てとなっています。

  • ISO27001は、情報セキュリティに関する要求事項で。「付属書A」として情報セキュリティリスクとその管理策について書かれていますが、これは、ISO27002を取り入れたものとなっています。
  • ISO27002は、ISO27001の「付属書A」の管理策についてより具体的に書かれています。

このため、ISO27002は、ISO27001のガイダンス規格と呼ばれることもあります。

スポンサーリンク

まとめ

ISMS(情報セキュリティマネジメントシステム)の要求事項(ISO/IEC27001)と管理策(ISO/IEC27002)は、2022年に発行されています。

JISQ27001:2023は発行されましたが、JISQ27002は2024年の発行となりそうです。

要求事項について大きな変更はありませんが、ISMSの管理策については統合と追加がありますので、ISMSの見直しが必要になります。

QMS(ISO9000シリーズ)ではいわゆるリスクマネジメントまでは求められていませんが、ISMSのリスクマネジメントをヒントにして、QMSの範囲の情報セキュリティについて考える際のポイントについて、以下の項目で説明しました。

  • ISMSとは
    • JISQ27002(ISMS管理策)についての補足
  • JIS Q 27001:2023(ISMS要求事項)について
    • リスクアセスメントについて
  • ISMSとQMSとの違い
タイトルとURLをコピーしました