【ISO/IEC27001:2022】主な変更点

バルク　情報セキュリティ営業チームです。 

ISO/IEC27001の改訂に伴い、2013年版からの主な変更点をご紹介します。 

①タイトルの変更

「情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項」 

　⇒「情報セキュリティ、サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項」 

情報セキュリティだけではなく、“サイバーセキュリティ”、“プライバシー保護”も規格タイトルとして含まれました。 

②章構成の見直し 

章構成が見直しされ、以下4つの管理策カテゴリに簡易化。 

5．組織的管理策、6．人的管理策、7．物理的管理策、8．技術的管理策 

③管理策の整理統合・新設

全体の管理策数は114個から、93個へ減少 。

新設が11個、複数統合が24個、更新が58個。※削除はなし。 

・新設された管理策 

　A.5.7　脅威インテリジェンス 

　A5.23 　クラウドサービス利用のための情報セキュリティ 

　A5.30　事業継続のためのICTの備え 

　A7.4　物理的セキュリティ監視 

　A8.9　構成管理 

　A8.10　情報の削除 

　A.8.11　データマスキング 

　A.8.12　データ漏洩の防止 

　A.8.16 　監視活動 

　A.8.23 　ウェブ・フィルタリング 

　A.8.28　セキュリティに配慮したコーディング 

④技術や脅威の動向に合わせた文言変更、管理策の追加 

・用語の変更 

　例：従業員⇒要因や関連する利害関係者

　　　取り外し可能な媒体⇒ストレージメディア 

・クラウドサービス利用に対する管理策 

・常に新しい脅威が生まれる状況下における情報収集 

・物理的、技術的な監視（ゼロトラストの考え方） 

・インシデント発生時の早期対応・復旧が出来る備え、日常的な訓練 

・サプライチェーン（委託事業者等）に対する管理 

・変更や削除等の設定管理、データマスキング 

 実質的に全く新しい概念の管理策はありませんが、 改めて箇条4~10の適⽤及び、93の管理策の適⽤可能性に対して再レビューが必要となります。 

さらに詳しい解説は、1月26日(木)の無料ウェビナーにてご説明いたします。

お申し込みはこちらから！是非、お気軽にご参加ください！