【ISO/IEC27001:2022】主な変更点

バルク 情報セキュリティ営業チームです。 

ISO/IEC27001の改訂に伴い、2013年版からの主な変更点をご紹介します。 

タイトルの変更

「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」 

 ⇒「情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」 

情報セキュリティだけではなく、“サイバーセキュリティ”、“プライバシー保護”も規格タイトルとして含まれました。 

②章構成の見直し 

章構成が見直しされ、以下4つの管理策カテゴリに簡易化。 

5.組織的管理策、6.人的管理策、7.物理的管理策、8.技術的管理策 

③管理策の整理統合・新設

全体の管理策数は114個から、93個へ減少 。

新設が11個、複数統合が24個、更新が58個。※削除はなし。 

・新設された管理策 

 A.5.7 脅威インテリジェンス 

 A5.23  クラウドサービス利用のための情報セキュリティ 

 A5.30 事業継続のためのICTの備え 

 A7.4 物理的セキュリティ監視 

 A8.9 構成管理 

 A8.10 情報の削除 

 A.8.11 データマスキング 

 A.8.12 データ漏洩の防止 

 A.8.16  監視活動 

 A.8.23  ウェブ・フィルタリング 

 A.8.28 セキュリティに配慮したコーディング 

技術や脅威の動向に合わせた文言変更、管理策の追加 

・用語の変更 

 例:従業員⇒要因や関連する利害関係者

   取り外し可能な媒体⇒ストレージメディア 

・クラウドサービス利用に対する管理策 

・常に新しい脅威が生まれる状況下における情報収集 

・物理的、技術的な監視(ゼロトラストの考え方) 

・インシデント発生時の早期対応・復旧が出来る備え、日常的な訓練 

・サプライチェーン(委託事業者等)に対する管理 

・変更や削除等の設定管理、データマスキング 

 実質的に全く新しい概念の管理策はありませんが、 改めて箇条4~10の適⽤及び、93の管理策の適⽤可能性に対して再レビューが必要となります。 

さらに詳しい解説は、1月26日(木)の無料ウェビナーにてご説明いたします。

お申し込みはこちらから!是非、お気軽にご参加ください!