【シリーズ】ISMS新規格の管理策　変更点まとめ＜5.6〜5.10＞

いしはまゆうき@LRMの情報セキュリティコンサルタント

2023年2月11日 09:28

前回からスタートした新シリーズの第2回目です！

「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼初回はこちら

本編に入る前に

規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）
JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります
規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

5.6 専門組織との連絡

「確立すること」の要求化
情報セキュリティに関する専門組織などとの連絡体制を維持することが求められていることに変わりはありません。ただ、前回解説した5.5と同様、新規格では連絡体制は「確立して」維持することが求められています。

「確立」という行為をどのように捉えるかによりますが、普通は維持する連絡体制ができているということは確立されていることが大前提に大前提思いますので、改めて何らか対応を要するものではないと考えられます。

ただこの専門組織のと連携は、この後登場する新規管理策の「5.7 脅威インテリジェンス」とも強く結びつく重要な取り組みになってくるので、今一度自分たちがどのような専門組織とどのように連携していくのか整理しておくとよいかもしれません。

5.7 脅威インテリジェンス

新しく登場した管理策
この管理策は旧規格で対応する管理策はない新規管理策です。
そのためまずはゼロベースで対応を検討することをおすすめします。
（今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します）

ただ、規格本文7.4のコミュニケーションや、附属書Aの5.6専門組織との連携など、従来から存在した取り組みの延長でもあるので上手に組み合わせることで違和感なく対応を進めることが可能です。

5.8 プロジェクトマネジメントにおける情報セキュリティ

旧規格ではシステムの開発や取得に属していた「情報セキュリティ要求事項の分析及び仕様化」の吸収
この管理策は旧規格でも存在した同名の管理策に加え、旧規格では開発に関するカテゴリに属していた管理策を吸収しています。

新規格での要求事項は、旧規格の同名管理策の内容をほぼ踏襲しており、開発部分の管理策の内容は削除されています。

ただ、システム開発や取得時に「情報セキュリティの要求事項を分析して仕様化しましょう」という考え方自体は、システム開発や取得というプロジェクトの管理において情報セキュリティを考慮するうちの一つのテーマとも言えるので実施事項が特別変わるわけでないと思ってよいでしょう。

5.9 情報及びその他の関連資産の目録

「目録に管理責任者を含めること」の明確化
旧規格でも情報資産の管理に関する管理策は存在していましたが、そちらはあくまでも「目録にある資産は管理されなければならない」都いう言い方をしていました。

それが今回の管理策では、明確に「それぞれの管理責任者を含めた目録を作成すること」が求められるようになっています。

もし今までの取り組みで管理責任者の概念に言及していない場合は今一度整理しておいた方が良いかもしれません。

5.10 情報及びその他の関連資産の許容される利用

取扱手順において「組織の分類体系を考慮すること」の削除
新規格でも、旧規格において要求されていた資産利用の許容範囲や取扱手順の整備などについては変わりありません。

一点だけ、「資産の取扱手順の策定は組織の情報分類体系を考慮すること」に対する要求が削除されています。ただこれまで分類体系に基づいて取り扱いルールを整備していればそれで問題ないですし、あまりその点に縛られる必要もないので、例外的なルールが必要な場合などはもう少し柔軟に考えても良いかもしれません。

まとめ

今回も5つの管理策について変更点を整理してみました。
統合された管理策は基本的に旧規格に合わせて構築した仕組みで充足できるようなものになっていますが、今回は明確に要求が増えているというものも登場しています。

またそうでなくとも少しずつニュアンスが変わっていたりはするので、もし新規格が求めていることをしっかりと把握したいといった場合には「変更点」に視点を向けてみてましょう。

参考資料

この記事が気に入ったらサポートをしてみませんか？