管理策の変更点まとめシリーズ最終回(第20回)！
今回も引き続き「8 技術的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

8.31 開発環境、テスト環境及び本番環境の分離

1. 表現の平易化
   旧規格では環境について、運用と開発のカテゴリでそれぞれ管理策が存在していたり管理策上で目的などが記載されていたのに対し、新規格では「各環境は分離してセキュリティを保ちましょう」という記載に変更しています。
   
   ただ「分離する」という求め自体が変わっているわけではないので、まずは従来取り組んできたことを確実に継続していくようにしましょう。

8.32 変更管理

1. 表現の平易化
   旧規格においては変更管理一つとっても「変更管理」「システムの変更管理手順」「パッケージソフトウェアの変更に対する制限」と対象によって様々な管理策が存在していたのに対し、新規格ではこの管理策に変更管理の要求が統合されています。
   
   ただもちろん管理策が統合されたからといって一つの方法にまとめなければならないわけでなく、様々な営みに応じて適切な変更管理方法を検討、適用していくことが大切になります。

8.33 テスト用情報

1. 特段の変更なし
   こちらは旧規格から大きな変更はありません。
   従来の取り組みを引き続き行っていきましょう。

8.34 監査におけるテスト中の情報システムの保護

1. 表現の変更
   旧規格では「運用システムの検証を伴う監査要求事項及び監査活動」という記載であったのに対し、新規格では「運用システムのアセスメントを伴う監査におけるテスト及びその他の保証活動」という記載に変更されています。
   
   要求自体が大きく変わるものではないかもしれませんが、よりシステム監査にフォーカスされているようにも読み取れるかもしれません。
   

2. 当該管理策の目的について削除
   旧規格ではこの管理策は「業務プロセスの中断を最小限に抑えるため」に行うという目的が記載されていたのですが、新規格においてはこの記載が削除されています。
   
   ただ、新規格でも27002には目的として同じ内容が目的として記載されていますので、あえて新たに考え直す必要まではないでしょう。
   

3. 計画の合意を行う人について「テスト実施者」と「管理層」であることの明確化
   システム監査における合意の要求は旧規格からありましたが、旧規格では誰が合意するのかまでは記載がありませんでした。
   それが新規格においては「テスト実施者と管理層との間で合意する」というように誰が合意するのかが明確になっています。
   
   あまりないとは思いますが、もしシステム監査等を行う際の合意方法などが曖昧である場合にはテスト実施者（監査する人）と責任のある管理層の人が合意するようにしましょう。

まとめ

今回は「8 技術的管理策」の5つの管理策を整理してみました。
これでISMS新規格による管理策の変更点まとめ完了です！

一応多くの管理策は統合して従来の取り組みの踏襲で充足できるとされていますが、実は改めて見直してみると少しずつ要求が変わっていたり、目的などが変わっていたりと、社会環境の変化なども受け取ることができるかもしれません。

せっかくの新規格対応の機会に組織のリスクの見直しと合わせて規格の差異についても考えてみても良いかもしれませんね。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会