PR

ISMS要求事項(JISQ27001)と管理策(JISQ27002)のJIS版がそろいました

ISMS-2024年版

2024年6月、ISMSの管理策のJIS版「JIS Q 27002:2024(ISO/IEC 27002:2022)」が発行されました。

これで、2022年に改訂されたISMSの要求事項と管理策のJIS版が出そろいました。

要求事項について大きな変更はありませんが、管理策は統合と追加がありますので、改めて説明します。

はかせ
はかせ

ISMSの認証取得は目指さなくとも、自社の情報セキュリティについて見直すよい機会にもなると考えています。

スポンサーリンク

ISMSに関する最新のISO規格

ISMSに関連する主な規格は、用語、要求事項、管理策に関連する3つの規格があります。

下表にISMSに関するISO規格とJIS規格の2024年6月現在の発行状況を示します。

  ISO/IEC規格 JIS規格
用語

ISO/IEC27000:2018

Information technology

– Security techniques

– Information security management systems

– Overview and vocabulary

JISQ27000:2019

情報技術-セキュリティ技術

-情報セキュリティマネジメントシステム

-用語

要求事項

ISO/IEC27001:2022

Information security, cybersecurity and privacy protection

– Information security management systems

– Requirements

JISQ27001:2023

情報セキュリティ-、サイバーセキュリティ及びプライバシー保護

-情報セキュリティマネジメントシステム

-要求事項

管理策

ISO/IEC27002:2022

ISO/IEC 27002:2022
Information security, cybersecurity and privacy protection

– Information security controls

JISQ27002:2024

情報セキュリティ、サイバーセキュリティ及びプライバシー保護

-情報セキュリティ管理策

ISO27001とISO27002との関係

ISMSがQMSとの違いでもある、ISO27001(ISMS要求事項)と27002(情報セキュリティ管理策)との関係について説明します。

  • ISO27001は、情報セキュリティに関する要求事項が書かれています。また、ISO27001の「付属書A」に、情報セキュリティリ管理策について書かれています。
  • ISO27002は、ISO27001の「付属書A」の管理策についてより具体的に書かれています。

このため、ISO27002は、ISO27001のガイダンス規格と呼ばれることもあります。

ISMSの要求事項(ISO27001)と管理策(ISO27002)の改訂

ISO/IEC27001:2022の改訂内容

ISO/IEC27001:2022は、2022年2月に改訂されました。

2013年版から約10年ぶりの改訂です。

2022年版の改訂内容は、次の2点になります。

  • 要求事項の大きな変更はない。(共通テキスト)
  • 2022年2月に改訂されたISO27002との整合性を取る。

共通テキストについては、以下の記事もご参照ください。

このため、改訂内容は、「付属書A」の内容が主になります。

はかせ
はかせ

「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスクに対応するために必要な管理策を定めたものです。

管理策については、ISO27002との関連があります。

管理策の削減:114個から93個へ

管理策の数が、114個から93個に減りました。

ただし、旧管理策を統合した場合もあり、単純に管理策の数が減ったわけではないことに注意が必要です。

はかせ
はかせ

要求されている管理策と実際にやっている管理策の確認が必要です。

管理策の追加:11個追加

現在のICTサービスへの対応のためだと推測していますが、クラウドサービスやITからICTへの変化などの管理策が追加されています。

管理策の分類(テーマ)

管理策が以下の4つのテーマに分類されました。

  • 「組織的」管理策
  • 「人的」管理策
  • 「物理的」管理策
  • 「技術的」管理策

実際に情報セキュリティの管理をする場合には、利用者や管理者、システムとインフラとの違いなどもありますので、管理策の見直しを含めた検討の際にも理解しやすくなると考えています。

スポンサーリンク

まとめ

2024年6月、ISMSの管理策のJIS版「JIS Q 27002:2024(ISO/IEC 27002:2022)」が発行され、2022年に改訂されたISMSの要求事項と管理策のJIS版が出そろいました。

要求事項について大きな変更はありませんが、管理策は統合と追加を含めて、以下の項目で説明しました。

  • ISMSに関する最新のISO規格
    • ISO27001とISO27002との関係
  • ISMSの要求事項(ISO27001)と管理策(ISO27002)の改訂
    • ISO/IEC27001:2022の改訂内容
    • 管理策の削減:114個から93個へ
    • 管理策の追加:11個追加
    • 管理策の分類(テーマ)
タイトルとURLをコピーしました