ISO/IEC 27001:2022 改定の概要
規格改定の概要
ISO/IEC 27001 情報セキュリティマネジメントシステム―要求事項 の規格が2022年に改定され、この国内規格であるJIS Q 27001:2023も2023年9月20日に発行されました。ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証を継続するためには、2025年10月31日(ISO規格の発行から3年後)までに、ISO/IEC 27001:2022への移行を完了する必要があります。
今回の規格改定のポイントは、一般に以下のように説明されています。
- 規格本文の要求事項は、Annex SL 及び ISO 31000など他の規格との整合を図るための変更が中心で変更はごく僅かである。
- ISO/IEC 27001 附属書A に規定される情報セキュリティ管理策は、ISO/IEC 27002と整合させ以下のような変更が加えられた。
- 情報セキュリティ管理策の分類が、組織的管理策、人的管理策、物理的管理策、技術的管理策の4つの分野で再編成された。
- 既存の管理策については、一部が統合されるなどして、11の新規の情報セキュリティ管理策が追加され、全部で93の情報セキュリティ管理策が規定された。
改定点については、上記の通りで全く間違いありませんが、単純に追加された情報セキュリティ管理策だけを追加して終わりにすることなく、今回の改定をISMSの有効性の見直しの機会として積極的に対応していくことが必要です。
例えば、組織のリスクアセスメントプロセスが有効に機能していたならば、今回追加された情報セキュリティ管理策に関連する情報セキュリティリスクについても既に特定され、追加の情報セキュリティ管理策として実施されていることでしょう。もし、現前としてその管理策に関連するリスクが存在しているにもかかわらず、関連する情報セキュリティ管理策が適用されていなかったなら、現在のリスクアセスメントプロセスに見直しの余地があるかもしれません。今回の改定では、主に、個人データの取り扱いに関する管理策や、サイバーリスクに関連する管理策、クラウドサービスの利用に関連する管理策などが追加されています。そのようなリスクの特定に見落としがなかったか、仕組みの上で改善できる可能性がないか、確認することが必要です。
情報セキュリティリスクアセスメントを補完する管理策
ISO/IEC 27001:2022の改定で追加された管理策の一つに、脅威インテリジェンス があります。脅威インテリジェンスは、ベンダーが提供する情報セキュリティ関連製品やサービスでもよく使われている用語なので、情報システムの運用に係わる人々にとってな馴染み深い用語ではありますが、いざ組織の中で、脅威インテリジェンスの管理策を実装しようとすると少し戸惑われる方も多いのではないでしょうか? ISO/IEC 27002:2022では、以前にも増して、ISO/IEC 27001の附属書Aに規定される情報セキュリティ管理策を実装する際に役立つ情報が豊富に提供されているますので、是非、ISO/IEC 27002を上手に活用しながら、有効な情報セキュリティ管理策を構築・適用して下さい。
昨今の情報技術の急速な変化・進展や、変化する脅威の状況を鑑みると、情報資産に注目して網羅的にリスクアセスメントを行う手法だけでは、有効な対策の実施に限界がある という見方もあるようです。今回の改定で追加された脅威インテリジェンスの管理策は、そのような、組織の情報セキュリティリスクアセスメントからリスク対応までの一連のプロセスを補完できる可能性があります。
ISMSの有効性の向上に向けて
世の中の情報セキュリティに関連する脅威は、目まぐるしく変化し、実際に多くの情報セキュリティ/サイバーセキュリティ事故が発生しているのに、”組織の情報セキュリティリスクアセスメントの結果は、もう何年も変化することなく、一貫して重大な情報セキュリティリスクには、対応済み という判断がなされている。” ISMSの外部審査ではよく見られる光景です。このようなリスクアセスメントの結果を経営者は信用することができるのでしょうか?
確かにISMSの認証の維持そのものには、必要以上の予算を費やす必要はありませんが、情報セキュリティ対策の実施には、それなりの費用が掛かることを理解し、求められるセキュリティレベルを実現するための投資を行うことが重要です。有効な情報セキュリティマネジメント、サイバーセキュリティマネジメントを実現するためには、リスクが顕在化した後に行われる費用は、リスクを未然に防ぐための投資費用の数倍から数十倍に及ぶ可能性があることを、経営陣がしっかりと理解し、適切な投資を継続する必要があります。
