ISO/IEC 27001:2022における規範的な変更点
非常に重要な変更点は、4.4項の組織の文脈に、ISMSの実施及び維持に必要なプロセス及びその相互関係を特定する要求事項が追加されたことである。この明確な要求事項により、ISO/IEC 27001:2022は、HS(HLS)による他のマネジメントシステムのベストプラクティスのアプローチと一致するようになりました。情報セキュリティマネジメントシステムは、確立された追跡可能なプロセス及びその相互作用に基づいていなければなりません。そして、附属書Aの情報セキュリティ管理は、これらのプロセスを中心に設計され、適応される。
条項 8.1の次の関連する変更も、すべての HS に基づくマネジメントシステムに共通するプロセス指向の重要性を強調しています。組織は、情報セキュリティリスクを管理するための対策を実施するために、業務計画及び管理の一環としてプロセスを実現しなければならない。新しいのは、プロセスの基準を定義しなければならなくなったことである。プロセス管理は、これらの基準に従って実施されなければならない。
さらに、以下の節で、より細かい明確化、仕様化が行われた。
- 5.3項は、情報セキュリティに関連する役割の責任と権限を組織内に周知することを明確に要求することで補足されています。
- 7.4項では、ISMSに関する内部及び外部とのコミュニケーションの必要性を規定しています。何を、いつ、誰と、といった従来からの規定に加えて、コミュニケーションの方法についても、従来の要求事項から実務的に簡素化されています。
- 9.2 内部監査及び 9.3 マネジメントレビューが、調和された構造に適応されました。9.2 項は 9.2.1 と 9.2.2 に、9.3 項は 9.3.1, 9.3.2 及び 9.3.3 に細分化された。
- 第 10.1 節と第10.2 節の構成順序は、調和された構造に適合している。10.2項の不適合及び是正処置の遡及的処理に先立ち、10.1項の将来の継続的改善という側面が、内容を変更することなく、先行するようになった。この調整により、継続的改善プロセス(CIP)の重要性が強調された。
もう一つの明確化は、情報セキュリティリスク対応策6.1.3 c) 項の選択に関するものである。これらは、リスクアセスメントの結果を考慮し、コントロールの付録Aと比較して定義されなければならない。この考え方に変更はない。しかし、以前のISO27001の説明書では、管理目的と管理策の包括的な リストを含むという、かなり強迫的な要求で附属書Aに言及していた。
新しいISO/IEC 27001:2022では、この附属書Aへの言及は、よりオープンで、したがってより柔軟に適用可能な情報セキュリティ管理策のリストとして理解することができます。
一言で言えば、ISO/IEC 27001:2022の附属書Aは、依然として6.1.3 c) 項の必須要件の一部として全体として考慮されるべきですが、そこに含まれる個々の情報セキュリティ対策の集合は、ユーザによってより柔軟に選択、設計、拡張することが可能です。ISO/IEC 27001の新版は、ここで、管理システムの枠組みを組織固有の管理策の集合のために開放することを強調している。
ISO/IEC 27001:2022の新しい附属書Aは、以下の通りです。
ISO/IEC 27001:2022の規範的な附属書Aにおける可能な情報セキュリティ(IS)管理のリストは、ISO/IEC 27002:2022と同じように導き出されます。一般的なセキュリティ管理のカタログは、2022年2月に発行された。したがって、ISO/IEC 27001:2022の附属書Aの変更は、以前から予見可能であった。以前は、附属書Aには、14の条項に整理された35の管理目標の下で、情報セキュリティリスクに対処するために使用できる合計114の管理策が含まれていました。
新しいISO/IEC 27001:2022では、管理目標が廃止されたことを除けば、附属書Aの情報セキュリティ管理は改訂され、最新のものになり、いくつかの新しい管理で補完、再編成されました。
旧附属書Aの14節は、現在、次の4つのトピックに集中している。
A.5 組織的管理(37項目)。
A.6 個人的管理(8 項目を含む)
A.7 物理的管理(14の管理を含む)
A.8 技術的管理(34の管理を含む)
新版ISO/IEC 27001:2022の附属書Aには、合計93の管理策が含まれるようになり、そのうち、以下の11の管理策が新たに追加されました。
A.5.7 スレットインテリジェンス
A.5.23 クラウドサービス利用のための情報セキュリティ
A.5.30 事業継続のためのICTレディネス
A.7.4 物理的セキュリティの監視
A.8.9 コンフィギュレーション管理
A.8.10 情報の削除
A.8.11 データマスキング
A.8.12 情報漏えい防止
A.8.16 行動監視
A.8.23 Web フィルタリング
A.8.28 セキュアコーディング
ISO/IEC 27001:2022 の附属書 A は、管理策の名称に限定されていますが、ISO/IEC 27002:2022 の実装ガイドでは、管理策の分類にさらなるオプションが用意されています。そこでは、各コントロールに5つの属性が割り当てられ、それに対する異なる見方や視点が可能になっている。属性またはその属性値を使用して、さまざまな組織のビューのためにフィルタリング、ソート、または表示を行うことができます。
5つの属性は次のとおりです。
コントロールの種類は、ある対策が情報セキュリティインシデントの発生に関連するリスクをいつ、どのように変化させるかという観点からコントロールを見るための属性である。
情報セキュリティの特性は、その対策がどのような保護目標をサポートすることを意図しているかという観点から、対策を見るための属性です。
サイバーセキュリティの概念は、ISO/IEC TS 27110に記述されているサイバーセキュリティの枠組みにどのように対応するかという観点から管理策を見るものである。
運用能力」は、対策を運用上の情報セキュリティ能力の観点から検討し、対策の実用的なユーザ視点をサポートする。
Security domainsは、コントロールを4つの情報セキュリティドメインの観点から見ることができる属性である。