【シリーズ】ISMS新規格の管理策　変更点まとめ＜5.26〜5.30＞

いしはまゆうき@LRMの情報セキュリティコンサルタント

2023年2月15日 09:18

管理策の変更点まとめシリーズ第6回！

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

本編に入る前に

規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）
JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります
規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

5.26 情報セキュリティインシデントへの対応

変更なし
インシデント対応に関する要求事項に変更はありません。

変更点という観点からは少し変わりますが、これだけ脅威が身近に存在する時代では「インシデントを防ぎきる」ということも少し難しいので、インシデントが発生することも想定した上でしっかり対応を整理して、その通り対応できる準備をしておくことはより重要になっていくと考えておくと良いでしょう。

5.27 情報セキュリティインシデントからの学習

「学習内容の活用目的」の変更
「情報セキュリティインシデントを学びにつなげる」という取り組みに変わりはありません。

ただ、学習の目的について旧規格では「インシデントが将来起こる可能性・影響の低減」であったのに対し、新規格では「セキュリティ対策を強化し、改善すること」という記載になっています。

「対策の強化」がインシデントの発生可能性や影響の低減につながると言えるのでその点での考え方を変える必要はないかもしれませんが、「改善」についてはこれまで言及していなかった部分でもあるので、インシデントからの学びをプラスに繋げていくという考え方も同時に持っておくと良いかもしれません。

5.28 証拠の収集

変更なし
証拠の特定、収集、取得及び保存のための手順を確立して、運用するという要求に変更はありません。
表現としては運用の部分について旧規格では「適用」、新規格では「実施」という表現が使われていますが、あえてこの点を気にして取り組みを変える必要性はないと考えて良いでしょう。

5.29 事業の中断・阻害時の情報セキュリティ

要求が「事業継続計画(BCP)の策定」のみにフォーカス
旧規格で対応する管理策では、事業継続に関する要求の決定から計画策定、レビュー(試験など)の実施まで求められていました。

一方新規格における要求事項は「事業の中断・阻害時に情報セキュリティを適切なレベルに維持する方法を計画すること」、つまりBCPの策定までになっています。

ですので従来の取り組みで十分充足はできていると言えるでしょう。
また、この管理策だけ見ると「試験をしなくて良くなった」と捉えることもできるのですが、実はこの観点は直後に登場するので忘れないようにしましょう。

5.30 事業継続のためのICTの備え

新しく登場した管理策
この管理策は旧管理策で対応する管理策はない新規管理策とされています。が、実は完全に新たなものではなく従来存在した情報セキュリティの管理策(新規格でいう「5.29 事業の中断・阻害時の情報セキュリティ」)をICTという観点からみたものと捉えるべきかもしれません。

実際にこの規格ではICT継続のための備えの継続、実施、試験まで求められています。そのためゼロベースで考えるのではなく、従来の事業継続計画の考えの中でICTの障害や停止などによる観点を考慮しているかチェックしてみても良いかもしれません。
もし考慮されていないようならその観点からの取り組みを行う必要が出てきます。
（今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します）

まとめ

今回も5つの管理策について変更点を整理してみました。
「5.30 事業継続のためのICTの備え」などもそうなのですが、新規管理策の中でも実は旧規格でも一部考慮はしていたものがより明文化されたというケースもあったりします。
ですので新規管理策だからと言って全くゼロベースで対応が必要なのか、もしくは実はすでに充足する取り組みを行えている可能性もあるのかしっかり確認してみても良いかもしれません。

参考資料

この記事が気に入ったらサポートをしてみませんか？