ISO/IEC27001:2022 ~旧版との違いと企業に求められる対応~

掲載:2022年11月22日

執筆者:取締役副社長 兼 プリンシパルコンサルタント 勝俣 良介

ガイドライン

情報セキュリティマネジメントシステム(ISMS)※1の国際規格ISO/IEC27001の最新版が2022年10月にISOより発行されました。この最新版の規格のことを本稿では、以後ISO/IEC27001:2022と表記します。なお、ISO/IEC27001の初版は2005年に発行されており、2013年(JIS版は2014年)に1回目の見直しが入りました。今回は2回目の改訂にあたります。2022年11月時点では、まだ邦訳版が登場していませんが、英語版に基づき、旧版からの変更点やISMSを整備/運用する企業が留意すべき点について解説いたします。

※1:Information Security Management Systemの略称

         

ISO/IEC27001:2022とは

ISO/IEC27001:2022は、正式には「情報セキュリティ、サイバーセキュリティおよびプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項」と呼ばれる国際規格※2 です。なお、情報セキュリティマネジメントシステム(ISMS)とは、組織の重要な情報である「情報資産」を、経営の意志に基づき、適切に保護/管理できるようにするための経営管理ツールのことです。また、要求事項とは、当該規格に沿ってISMSを適切に整備/運用できていることを謳うために、組織が必ず守らなければいけないルールのことを言います。組織にISMSを導入するメリットや導入するための要件等については「ISO27001と情報セキュリティマネジメントシステム(ISMS)」を参照ください。

※2:2013年版の名称は「ISO/IEC 27001:2013 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」(Information technology -- Security techniques -- Information security management systems -- Requirements)

ISO/IEC27001:2022の位置付けと構成

ISO/IEC27001:2022の位置付け

情報セキュリティマネジメントシステム(ISMS)を考える際には、特に2つの規格の存在を知っておく必要※3があり、1つ目がISO/IEC27001:2022です(2つ目については後述します)。ISO/IEC27001:2022は、主に「情報セキュリティの管理をどのように行わなければいけないか」といったISMSの整備/運用の在り方について言及した規格です。言い換えれば、組織が、どのように情報セキュリティのPDCA(Plan, Do, Check, Act)を回すのかの定めを記述したものです。

※3: 厳密には、他にもISMSに関する規格が存在しますが、その中でも最も重要な規格がこの2つになります

ISO/IEC27001:2022の構成

ISO/IEC27001:2022のメインとなる本文は、全部で7つの章(第4章~第10章)から構成されます。巻末には参考情報として「情報セキュリティ管理策一覧」が掲載されています。なお、情報セキュリティ管理策とは、組織が、情報セキュリティに関わるリスクをコントロールするために導入する対策のことです。組織は、自組織が抱える情報セキュリティに関わるリスクの大きさを算定し、経営が許容可能とするリスクの大きさと比較しながら、適宜必要な管理策の採用を検討し導入する必要があります。規格の構成は以下の通りです。

【ISO/IEC27001:2022の章立て】
本文 計画(Plan) 4.組織の状況
5.リーダーシップ
6.計画
7.支援
実行(Do) 8.運用
チェック(Check) 9.パフォーマンス評価
改善(Act) 10.改善
補足資料 付属書A - 情報セキュリティ管理策のリファレンス

※出典:ISO/IEC27001:2022目次を基に筆者が編集

ISO/IEC27002:2022との関連

ISMSを考える際に知っておきたい規格のうち、もう1つはISO/IEC27002:2022です。これは前述の「情報セキュリティ管理策一覧」を詳細に解説した規格です。ISO/IEC27001:2022にも管理策一覧が記載されていますが、必要最低限の内容にとどまります。管理策の中身を正しく理解するためには、ISO/IEC27002:2022の活用が必要になります。なお、 ISO/IEC27002はISO/IEC27001の改訂に先駆け、8ヶ月前の2022年2月に発行されています。

ISO27001:2013からの変更点

情報セキュリティ管理策一覧の変更

ISO27001:2013からの大きな変更点は、実は「情報セキュリティ管理策一覧」です。その数も中身も変更になっています。具体的には、旧版までは14カテゴリ114管理策でしたが、ISO/IEC27001:2022では、管理策の新規追加、一部統合・更新がなされ、トータル93の管理策となっています。14あったカテゴリも、大きく4つのカテゴリに分類し直されました。なお、4つのカテゴリとは「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」です。

「情報セキュリティ管理策」の具体的な変更について、より詳しくお知りになりたい方は、「ISO/IEC27002:2022」を参照ください。

【ISO27002:2013とISO/IEC27001:2022の管理策のカテゴリ】

出典:JIS Q 27002:2014(ISO/IEC27002:2013)の目次とISO27002:2022の目次を基に筆者が翻訳・作成

その他の変更

「情報セキュリティ管理策」以外の規格本文(第4章~第10章)の変更はマイナーチェンジにとどまります。具体的には例えば次のような変更です。

①「4.1 組織と状況の理解」において旧版では「リスクマネジメントの国際規格ISO31000:2008を参照できる」となっていたが「ISO31000:2018を参照できる」と変更

①解説
ISO31000が2018年にリニューアルされたため

②「4.2 利害関係者のニーズと期待の理解」において旧版では「情報セキュリティマネジメントシステムの要求事項を決定しなければならない」となっていたが、新版では「要求事項を決定するとともに、いずれに対処する必要があるかを決めなければならない」と変更

②解説
「要求事項全てに対応しなければならない」とは限らないため、「まずは考慮した方がよい要求事項としてはどんなものがあるかを列挙した上で、対処しなければいけないものを明確にしなさい」としたと考えられる

③「4.4 情報セキュリティマネジメントシステム」において旧版では「この規格の要求事項に従って情報セキュリティマネジメントシステムを確立しなければならない」となっていたが、新版では「必要なプロセスおよびそれらの相互作用を含む情報セキュリティマネジメントシステムを確立しなければならない」と変更

③解説
他のマネジメントシステム規格との整合をとった修正(ISO9001:2015でも同じような文言が使われている)

④「6.1.3 情報セキュリティリスク対応」において旧版では「付属書Aには管理目的と管理策の包括的なリストが含まれている」となっていたが、新版では「付属書Aには考えられる情報セキュリティ対策のリストが含まれている」と変更

④解説
新版では、従来あった「管理目的」の一切が省略され、その全てはISO/IEC27002:2022に委ねられることになったためであることがわかる。また、「包括的」という文言利用をやめた背景には、「このリストにある管理策から必要な管理策を選びさえすればいいというものではない」という点を強調したかったことがあると考えられる

⑤ 新版では「6.2 計画の変更」で新たに「情報セキュリティマネジメントシステムに変更を加える必要がある場合には、計画的に行わなければならない」 が追加された

 ⑤解説  
他のマネジメントシステム規格との整合をとった修正。その意味では旧規格では抜け落ちていた視点と言える

⑥「8.1 運用の計画および管理」において旧版では「組織は外部委託したプロセスが決定され、かつ、管理されていることを確実にしなければならない」としていたが、新版では「外部から提供されるプロセス、製品またはサービスが管理されていることを確実にしなければならない」と変更

⑥解説
本質的に求めていることは変わらないが、クラウドサービス利用など昨今のトレンドを踏まえ、「プロセスのみならず製品やサービスも当然に考慮することを忘れてはならない」と強調したものと考えられる

ISO27001:2022への対応方法

以上、見てきましたように、ISO27001:2022の大きな変更点は「情報セキュリティ管理策一覧」になります。そのため、運用ルール自体の大きな見直しは不要と言えます。具体的には、情報セキュリティ目的や方針の決定、年間運用計画の策定やその実行、内部監査の実行や改善といった一連の活動に大きな変更の必要はありません。また、情報セキュリティリスクに対応するための一連のプロセスにも大きな変更はありません。情報セキュリティリスクに対応するための一連のプロセスとは、組織の情報資産の洗い出しや、リスクの大きさの算定(リスク分析)、対応すべきリスクの決定(リスク評価)、対応すると決めたリスクへの対応といった活動のことです。

では、何が変わるのでしょうか。形式的な側面では、適用宣言書(Statement of Applicability)を更新する必要があります。適用宣言書とは「組織が93ある情報セキュリティ管理策のいずれを採用したのか、採用した理由/採用しなかった理由は何か、採用した管理策は導入済みなのか」を取りまとめた文書のことです。これは組織のISMS活動を評価したり監査したりする際に、全体像を掴むために必要不可欠な文書です。従来は、114の管理策を軸に作成されていたものですが、その数も構造も変わりましたので、それに合わせて適用宣言書を更新する必要があると言えます。ちなみに、ISO27002:2022には、管理策一覧の旧版(ISO27002:2013)との比較対象表が掲載されていますので、参考にすると良いでしょう。

また、実質的な側面では、これら見直された93の管理策の中に新たに追加された管理策が11ありますから、組織があらためて採用すべき管理策がないかどうかを検討することが必要と言えるでしょう。より詳しくお知りになりたい方は、「ISO/IEC27002:2022」を参照ください。

おすすめ記事