【シリーズ】ISMS新規格の管理策　変更点まとめ＜5.36〜5.37＞

管理策の変更点まとめシリーズ第8回！

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

5.36 情報セキュリティのための方針群、規則及び標準の順守

1. 表現の変更
   新旧規格において管理策の表現に変更が発生しています。
   ただ、「組織のルールなどを順守していることの定期レビュー」という要求に変更はありませんので、従来通り定期的なセキュリティチェックや内部監査などを用いていれば問題ないと考えられます。
   

2. 「技術的順守のレビュー」の要求削除
   旧規格では情報システムの技術的チェックの観点について「技術的順守のレビュー」という形で独立した管理策として存在していました。
   それが今回の規格改訂の規格統合によって、要求自体は削除されています。
   
   ただ、システムの技術的チェックをしなくて良いという話ではなく、「情報セキュリティのための方針群、規則及び標準の順守」の中に情報システムに関するレビューも含まれていることが前提と考えられていると想定しておくのが良いでしょう（つまり従来通りの取り組みはしっかり続けていきましょうということですね）。

5.37 操作手順書

1. 「操作手順を作るべき対象」の明確化
   旧規格では「操作手順は〜」と始まっていたのに対し、新規格では「情報処理施設の」という単語が頭についており、当該管理策では情報処理施設の操作手順を考慮すべきであるということがより明確にわかるようになりました。
   
   しかしよくよく考えると目新しいことではなく、旧規格時代には「A.12.1　運用の手順及び責任」という情報処理施設をターゲットとした管理目的の元に存在していたので特段変更はないと考えてよいでしょう。
   

2. 「利用可能にすべき対象者」の表現の変更
   旧規格ではここで文書化した操作手順は必要とする「全ての利用者」が利用可能な状態にすることが求められていたのに対し、新規格では必要とする「要員」という表現に変更されています。
   
   ただ「その操作手順を参照すべき人がちゃんと使えるようにしておいてください」ということに変わりはないので新たに対応を要するものではないと捉えて問題ないでしょう。

まとめ

今回は組織的管理策の一区切りとして残っていた2つの管理策について変更点を整理してみました。
次回からは6章の「人的管理策」をテーマにしていきたいと思います。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会