ISMS要求事項(JISQ27001)と管理策(JISQ27002)のJIS版がそろいました

2024年6月、ISMSの管理策のJIS版「JIS Q 27002:2024（ISO/IEC 27002:2022）」が発行されました。

これで、2022年に改訂されたISMSの要求事項と管理策のJIS版が出そろいました。

要求事項について大きな変更はありませんが、管理策は統合と追加がありますので、改めて説明します。

はかせ

ISMSの認証取得は目指さなくとも、自社の情報セキュリティについて見直すよい機会にもなると考えています。

ISMSに関する最新のISO規格

ISMSに関連する主な規格は、用語、要求事項、管理策に関連する3つの規格があります。

下表にISMSに関するISO規格とJIS規格の2024年6月現在の発行状況を示します。

	ISO/IEC規格	JIS規格
用語	ISO/IEC27000：2018 Information technology – Security techniques – Information security management systems – Overview and vocabulary	JISQ27000：2019 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語
要求事項	ISO/IEC27001：2022 Information security, cybersecurity and privacy protection – Information security management systems – Requirements	JISQ27001：2023 情報セキュリティ－、サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項
管理策	ISO/IEC27002：2022 ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection – Information security controls	JISQ27002：2024 情報セキュリティ、サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策

ISMSがQMSとの違いでもある、ISO27001（ISMS要求事項）と27002（情報セキュリティ管理策）との関係について説明します。

このため、ISO27002は、ISO27001のガイダンス規格と呼ばれることもあります。

ISO/IEC27001：2022は、2022年2月に改訂されました。

2013年版から約10年ぶりの改訂です。

2022年版の改訂内容は、次の2点になります。

共通テキストについては、以下の記事もご参照ください。

このため、改訂内容は、「付属書A」の内容が主になります。

はかせ

「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスクに対応するために必要な管理策を定めたものです。

管理策については、ISO27002との関連があります。

管理策の数が、114個から93個に減りました。

ただし、旧管理策を統合した場合もあり、単純に管理策の数が減ったわけではないことに注意が必要です。

はかせ

要求されている管理策と実際にやっている管理策の確認が必要です。

現在のICTサービスへの対応のためだと推測していますが、クラウドサービスやITからICTへの変化などの管理策が追加されています。

管理策が以下の4つのテーマに分類されました。

実際に情報セキュリティの管理をする場合には、利用者や管理者、システムとインフラとの違いなどもありますので、管理策の見直しを含めた検討の際にも理解しやすくなると考えています。

2024年6月、ISMSの管理策のJIS版「JIS Q 27002:2024（ISO/IEC 27002:2022）」が発行され、2022年に改訂されたISMSの要求事項と管理策のJIS版が出そろいました。

要求事項について大きな変更はありませんが、管理策は統合と追加を含めて、以下の項目で説明しました。

ISMSに関する最新のISO規格
- ISO27001とISO27002との関係
ISMSの要求事項（ISO27001）と管理策（ISO27002）の改訂
- ISO/IEC27001：2022の改訂内容
- 管理策の削減：114個から93個へ
- 管理策の追加：11個追加
- 管理策の分類（テーマ）