【シリーズ】ISMS新規格の管理策　変更点まとめ＜6.1〜6.5＞

管理策の変更点まとめシリーズ第9回！
今回からは「6 人的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

6.1 選考

1. 経歴を確認すべきタイミングの明確化
   旧規格から存在していた選考の管理策と要求事項に変更はありません。
   ただ新規格では一点、経歴確認を行うタイミングとして「入社前＋その後継続的」に行うことが新たに追加されています。
   入社前の経歴確認については従来通りの選考の対応で問題ないでしょう。
   また、その後の継続的な確認についても全く新たな事を行うというよりは、役職が変わるタイミングで適切な経歴を経ているか確認するなどといった対応で問題ないと考えられます。

6.2 雇用条件

1. 言い回しの変更
   管理策の言い回しに変更はあるものの、「雇用契約書に情報セキュリティに関する責任を記載する」という要求事項そのものに変更はありません。
   引き続きこれまで行ってきたことを続けていけば充足していると考えられます。

6.3 情報セキュリティの意識向上、教育及び訓練

1. 意識向上のテーマが「情報セキュリティ」であることの明確化
   旧規格から存在する管理策ですが、旧規格では意識向上のテーマが「職務に関連する組織の方針及び手順」と若干曖昧な記載となっていました。
   これが新規格では意識向上のテーマは「職務に関連する組織の情報セキュリティ方針、トピック固有の方針及び手順」であるという記載に変化しています。
   従来から情報セキュリティに関する教育を実施していたとは思いますのであえて何らか対応を変える必要はないと考えられますので、管理策がイメージしやすくなったと捉えておくとよいでしょう。

6.4 懲戒手続

1. 懲戒手続の対象が「従業員」から「要員及びその他関連する利害関係者」に変更
   旧規格では「情報セキュリティ違反を犯した従業者に対する懲戒手続の整備」が求められていましたが、新規格では「情報セキュリティ方針違反を犯した要員及びその他の関係する利害関係者に対する懲戒手続の整備」が求められています。
   要員に対する懲戒手続というのは従来の対応ですでに充足できていると考えられますが、今後はさらにもしその他の利害関係者（委託先や契約先など）が情報セキュリティのルールに違反した場合の対応についても、契約などで考えておくとよいかもしれません。

6.5 雇用の終了又は変更後の責任

1. 管理策の対象者に関する言い回しの変更
   旧規格では管理策の対象として「従業者又は契約相手」としていたものが、新規格では「関連する要員及びその他の利害関係者」と変更されています。
   ただこの言い回しについては新規格全般で置き換えられているものであり、また、要求そのものに変化が生じているわけではないので、従来の対応を継続していれば問題ないと考えられます。

まとめ

今回は「6 人的管理策」の5つの管理策を整理してみました。
カテゴリ6には新規管理策がなく、また、既存管理策自体にも大きな要求の変更は生じていません。
ただ人的な観点だからこそ、対象が少し変わっていたりはするので、それぞれの雇用形態や関係性に応じた対応を改めて考えてみるようにするとよいかもしれません。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会