ISO/IEC27002:2022が2022年2月15日に発行され、ISO/IEC27001の改訂がいつになるのか注目されています。
いくつかの審査機関のセミナーに参加したところ、今秋ごろ(11月か?)にISO/IEC27001:2022が発行されそうです。その改訂の概要ですが、本文はほとんど変更されず、27002と連動している附属書Aの変更がメインになります。
従来の27002では、14のカテゴリー、35の管理目的、114の管理策に分類されていましたが、新しい27002では、管理目的がなくなり、4のカテゴリー、93の管理策になり、さらに管理策を2桁で表すよう変更になります。
・5.組織的管理策:37個(5.1~5.37)
・6.人的間管理策: 8個(6.1~6.8)
・7.物理的管理策:14個(7.1~7.14)
・8.技術的管理策:34個(8.1~8.34)
また、管理策の変更の内訳は次のようになります。
・新規管理策:11個
・統合された管理策:24個
・更新された管理策:58個
・削除された管理策:なし
追加になった11個の管理策には、例えば、5.23「クラウドサービスの利用における情報セキュリティ」、8.10「情報の削除」、8.23「ウェブ・フィルタリング」などがあり、新たに適用の可否およびルール化の検討が必要になります。従いまして、「リスクアセスメント」を実施し「適用宣言書」「情報セキュリティ手順書」の見直しが発生します。見直した情報セキュリティルールをもとに教育を実施し、内部監査を実施します。内部監査を実施するために「内部監査チェックリスト」の見直しや内部監査員教育を行い、内部監査員の力量アップを図る必要があります。
ちなみに、移行期間は3年間になると見込まれています。従来の2013年版での新規取得は、ISO/IEC27001:2022版の発行から1年間になります。
