<< お役立ち情報一覧へ戻る

ISO/IEC27001（ISMS）規格改訂について2022.07.11

ISO/IEC27002:2022が2022年2月15日に発行され、ISO/IEC27001の改訂がいつになるのか注目されています。

いくつかの審査機関のセミナーに参加したところ、今秋ごろ（11月か？）にISO/IEC27001：2022が発行されそうです。その改訂の概要ですが、本文はほとんど変更されず、27002と連動している附属書Aの変更がメインになります。

従来の27002では、14のカテゴリー、35の管理目的、114の管理策に分類されていましたが、新しい27002では、管理目的がなくなり、4のカテゴリー、93の管理策になり、さらに管理策を2桁で表すよう変更になります。
　・5.組織的管理策：37個（5.1～5.37）
　・6.人的間管理策： 8個（6.1～6.8）
　・7.物理的管理策：14個（7.1～7.14）
　・8.技術的管理策：34個（8.1～8.34）

また、管理策の変更の内訳は次のようになります。
　・新規管理策：11個
　・統合された管理策：24個
　・更新された管理策：58個
　・削除された管理策：なし

追加になった11個の管理策には、例えば、5.23「クラウドサービスの利用における情報セキュリティ」、8.10「情報の削除」、8.23「ウェブ・フィルタリング」などがあり、新たに適用の可否およびルール化の検討が必要になります。従いまして、「リスクアセスメント」を実施し「適用宣言書」「情報セキュリティ手順書」の見直しが発生します。見直した情報セキュリティルールをもとに教育を実施し、内部監査を実施します。内部監査を実施するために「内部監査チェックリスト」の見直しや内部監査員教育を行い、内部監査員の力量アップを図る必要があります。

ちなみに、移行期間は3年間になると見込まれています。従来の2013年版での新規取得は、ISO/IEC27001:2022版の発行から1年間になります。

<< お役立ち情報一覧へ戻る