2022年10月25日、ISO/IEC 27001:2022が発行され、旧規格と比較していくつかの変更点が含まれています。 情報セキュリティマネジメントシステム規格の旧版(ISO/IEC 27001:2013)に対して発行されたすべての認証書の有効期限は、2025年10月31日までとなる予定です。
なぜ、情報セキュリティがビジネスにとって重要なのか?
今日の不安定なビジネス環境において、情報セキュリティ、サイバーセキュリティ、プライバシー保護は企業にとって不可欠なものです。あらゆる規模、あらゆる業種の組織が、財務情報、知的財産、従業員データ、第三者情報などの資産のセキュリティを確実に管理する必要があります。ISO/IEC 27001:2022は、組織内でセキュリティ管理を実施するために必要な要求事項を規定した情報セキュリティ規格です。
新規格ISO/IEC 27001:2022の変更点は?
新しい情報セキュリティ規格の中で、最も重要だと思われる変更箇所は3つあります。それらは、新しい表題、附属書Aの変更、及び4~10項の変更です。概要を説明するために、以下に変更点を概要を説明します。
1. 名称の変更
規格の名称が変更され、『ISO/IEC 27001:2022 Information Security, Cybersecurity and Privacy Protection (情報セキュリティ、サイバーセキュリティ及びプライバシー保護)』となりました。
2. 付属書Aの変更
附属書Aは、名称を「情報セキュリティ管理規定」に変更しました(以前の「(規定) 管理目的及び管理」から)。名称の変更が示すように、ISO/IEC 27001:2022では、管理グループの目的が削除されました。
Furthermore, the number of controls has been updated. Below, we have listed the 11 new controls which have been added to Annex A:
さらに、管理の数も更新されました。以下に、Annex Aに追加された11の新しい管理のリストを掲載します:
- 脅威インテリジェンス
- クラウドサービス利用時の情報セキュリティ
- 事業継続のためのICTの準備
- 物理的なセキュリティの監視
- コンフィギュレーション管理
- 情報の削除
- データ・マスキング
- 情報漏えい対策
- モニタリング活動
- ウェブフィルタリング
- 安全なコーディング
さらに、ISO/IEC 27001:2022の管理グループは、4つの項目に分割されました(旧版では14項目)。この4つの項目を以下に示します:
1. A.5 組織的な管理(37管理)
2. A.6 人員の管理(8管理)
3. A.7 物理的な管理(14管理)
4. A.8 技術的な管理(34管理)
これらの4つのセクションは93の管理で構成されており、旧版の114から減少しています。この減少は、いくつかの管理を統合した結果です。
3. 第4章-10節の変更点
4-10項では、いくつかのマイナーチェンジが行われました。最も顕著な変更は、4.2項、6.3項、8.1項になります。
4.2. 利害関係者のニーズ及び期待
利害関係者からの要求事項の項目(c)が追加されました。
6.3 サブ項目として「変更の計画」が追加
組織が情報セキュリティマネジメントシステムの変更の必要性を判断した場合、その変更は計画的に実施しなければなりません。
8.1 運用の計画と管理
以下に変更:
組織は、要求事項を満たすために必要なプロセス、及び、第6項で決定した処置を実施するために必要なプロセスを、次のように計画、実施及び管理しなければならない:
- プロセスに関する基準を確立する。
- 基準に従ってプロセスの管理を実施する。
プロセスが計画通りに実施されたことを確信するために必要な範囲で、文書化された情報が利用可能でなければならない。
Nemkoがどのようなサービスを提供するか?
Nemko が ISO/IEC 27001:2017 の認証取得にどのように貢献できるか、その概要を知るには、遠慮なく直接お問い合わせください。