ISMS新規格対応

こんにちは！Colorkrew Securityアナリストの菊池です。

自社のセキュリティについての客観的評価基準として、ISMS認証を取得している企業も多いかと思います。
今回は、9年ぶりに改訂された2022年版ISO27001の適用期限が迫るなか、急遽アサインされた私がどのように対応して審査をパスしたか解説します。

改訂内容

外部セミナーを受講し、2022年版規格では以下3点変更の変更があることがわかりました。
（外部セミナーでは具体的にどう対応するかまでは話してくれません）

1. 規格本文　箇条4～10本文改訂
2. 附属書A　章立て変更
3. 附属書A　11の新規管理策追加

規格本文　箇条4～10本文改訂

箇条4～10はすべてISMSに対する除外できない要求となりますので、これをベースにしている自社のISMSマニュアル等は修正が必要になります。
例えば、「6.3 変更の計画策定」が規格に追加されています。
これは、ISMSに変更が発生した場合、計画的に実行しなさいという要求ですので、以下一文をマニュアルに追記しました。

6.3 変更の計画策定 ISMSに変更がある場合は、ISMS運営委員会にて協議、修正し、トップマネジメントの承認を得ること。

附属書A　章立て変更

A.5～A.18のカテゴリが以下4つのカテゴリに変更されました。

「5 組織的管理策」

「6 人的管理策」

「7 物理的管理策」

「8 技術的管理策」

また、いくつかの管理策が一つにまとめられるなど、管理策の総数が114個から93個に減っています。
（廃止された項目はなく構成変更となるため、これまでの対応が減るわけではない）

まずは、旧版のどの管理策が2022年版に該当するのか比較表を作ることから始めました。

そして、その比較表を基に具体的な運用方法を定義した実施規程の構成を変更していきました。
（新規管理策以外にも要求事項本文が追加、変更されている箇所がありますので、注意が必要です。）

附属書A　新規管理策追加

新たに以下11個の管理策が追加されました。

「5.7 脅威インテリジェンス」
「5.23 クラウドサービス利用のための情報セキュリティ」
「5.30 ビジネス継続のためのICTの備え」
「7.4 物理的セキュリティ監視」
「8.9 構成管理」
「8.10 情報の削除」
「8.11 データマスキング」
「8.12 データ漏えい防止」
「8.16 監視活動」
「8.23 ウェブフィルタリング」
「8.28 セキュリティに配慮したコーディング」

これら管理策に対しどう運用して評価すべきかが今回の改訂のメインになります。
これらについて次回から解説していきます。