【シリーズ】ISMS新規格の管理策　変更点まとめ＜7.11〜7.14＞

管理策の変更点まとめシリーズ第13回！
今回は引き続き「7 物理的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

7.11 サポートユーティリティ

1. 特筆すべき変更なし
   「装置などを、サポートユーティリティ（電源など）の不具合による、停電やその他の中断などから防ぐこと」という要求に変更はありません。
   従来の取り組みを継続することが大切です。
   
   一点要求の変更ではないですが、現状ではほぼ故障して困る装置などがないというケースも少なくないかと思います。
   その場合には、そういった停電対策などが適切に行われているクラウドサービスであることを確認するなどの営みを行なっておくとよいでしょう。

7.12 ケーブル配線のセキュリティ

1. 特筆すべき変更なし
   ケーブル配線の保護についても要求について旧規格からの変更はありません。従来通り、ケーブルの損傷や電波傍受から防ぐための対策を行なっていきましょう。

7.13 装置の保守

1. 保守の目的に「機密性」が追加
   「装置を適切に保護する」という要求に変更はないのですが、保守の目的が旧規格では「可用性・完全性の維持」であったのに対し、新規格ではさらに「機密性」も追加されています。つまり情報セキュリティ全体を考慮しましょうということです。
   取り組み自体は従来から大きく変わることは想定されないですが、例えば適切に保守活動を行っていなかったことによって不正アクセスなどきっかけとなる脆弱性を作ってしまう、誤った設定のまま放置されてしまうといったリスクも考慮しておくとよりよいかもしれません。

7.14 装置のセキュリティを保った処分又は再利用

1. 特筆すべき変更なし
   「装置の処分や再利用前には、情報やライセンスが関わるソフトウェアが適切に消去・上書きされていることを確実にするために検証する」という要求に変更はありません。
   従来通りの取り組みを継続していきましょう。

まとめ

今回は「7 物理的管理策」の4つの管理策を整理してみました。
装置に関する管理策については、約10年の間に装置の仕組みなどに大きな変化などがなかったためか、旧規格からあまり大きな変動は発生していません。
そのため新たなことを行うというよりもは今まで行ってきたことを、組織が管理する装置の種類に合わせて引き続き適切に行っていくことが大切です。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会