管理策の変更点まとめシリーズの第3回目！

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

5.11 資産の返却

1. 大きな変更はなし
   「雇用や契約の変更、終了のタイミングで組織の資産を返してもらいましょう」という要求に全く変更はありません。
   
   またその対象者について少し表現が変わってはいるものの、業務従事者や関わる関係者の人たちを表していることにも変わりはないため、基本的には従来行ってきたことの継続になることが想定されます。

5.12 情報の分類

1. 情報分類時に考慮すべき事項の記載変更
   「情報を分類する」という求めに変わりはないのですが、分類時に考慮すべき事項が「法的要求事項、価値、重要性、認可されていない開示や変更に対する慎重度合い」から「機密性、完全性、可用性、利害関係者の要求事項に基づく情報セキュリティのニーズ」に変化しました。
   
   一見異なる記載になっているようにも見えますが、新規格における「機密性、完全性、可用性」は「価値や重要性」、「利害関係者の要求事項に基づく情報セキュリティのニーズ」は「法的要求事項などの各項目」で従来から考慮されてきていたことなのではないかと思います。
   
   そのため記載感が変わっていることによる意識の持ち方は整理しても良いかもしれませんが、実質的に行うことに変更はないと考えて良いでしょう。

5.13 情報のラベル付け

1. 変更なし
   ラベル付けの管理策について要求の変更はありません。
   従来の取り組みを継続して続けていくことが重要になります。
   
   ただ要求事項とは少し話が変わりますが、「ラベル付け」という語感から重要度のラベルなどをぺたっとつけたりするだけでなく、クラウドサービス上のデータなどにもわかりやすい名前をつけるなど情報に関わるものであればラベル付けの対象になりうるという点を押さえておくとより良いかと思います。

5.14 情報の転送

1. 「合意で含めるべきこと」に対する要求の削除
   旧規格では「情報転送に関する合意」という合意にフォーカスした管理策が存在しており、そこでは合意の中で「情報のセキュリティを保った転送」を取り扱うことが求められていました。
   
   新規格でも「情報転送手段に関する合意は備えておきましょう」ということ自体は求められているのですが、「合意の中で〇〇を取り扱ってください」という記載はなくなっています。
   
   基本的にあえて取り組みを変える必要もないかもしれないですが、合意すべき内容の自由度は増したとも言えますので、自組織と相手方それぞれで合意しておきたいことを整理しやすくなったとも言えるでしょう。
   

2. 「電子的メッセージ通信」に特化した項目の削除
   旧規格では「電子的メッセージ通信に含まれた情報は保護しましょう」という管理策も独立したものとして存在していました。しかし新規格ではこれも「情報の転送」という大きな枠組みの中に組み込まれています。
   
   これは旧規格が作られた頃にはメールに加え、チャットツールやSNSなどが普及し始めたくらいだったので特別扱いされていたものが、現在はこれらの電子的な情報の転送が主な方法になったため、あえて抜き出した管理策にするような環境ではないと言えるのではないでしょうか。
   
   その点からもこの管理策がなくなったからといって考慮しなくて良くなったのではなく、電子的メッセージ通信手法が中心になったからこそより考える必要があるということは認識しておく必要があります。

5.15 アクセス制御

1. 「規則を確立すべきアクセス制御の対象」の明確化
   これまでアクセス制御の管理策においてはまず「アクセス制御方針」を立てることが求められていました。
   
   新規管理策でも結論として求められることが大きく変わるわけではないですが、「情報及びその他の関連資産の物理的及び論理的アクセスを制御するため」の規則を立てることが求められるようになりました。
   何をターゲットとして何のためのアクセス制御のルールを作る必要があるのか明確になったと言えるでしょう。
   

2. 「文書化、レビュー」に関する要求の削除
   旧規格におけるアクセス制御方針は「文書化、レビュー」要求がありました。一方で、新規格においては「確立、実施」が要求されています。
   
   要求上は文書化要求がなくなったものの、何に基づいてアクセス制御するのか整理するであろうことを考えると従来行ってきたことをあえて変えることなく取り組み続けるのが良いでしょう。

まとめ

今回も5つの管理策について変更点を整理してみました。
統合された管理策は基本的に旧規格に合わせて構築した仕組みで充足できるようなものになっていますが、今回は時代の変化によって少し捉え方が変えられているものや、同じようなニュアンスのものは大きな枠組みで捉えらなおされるようになっていることがわかります。

今回のアクセス制御もそうですが、これから登場する管理策ではこれまで以上に大きな枠組みで捉え直されるものも増えてくるかと思います。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会