【シリーズ】ISMS新規格の管理策　変更点まとめ＜5.21〜5.25＞

2023年2月14日 09:09

管理策の変更点まとめシリーズ第5回！

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

本編に入る前に

規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）
JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります
規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

「供給者との合意」から「供給者管理プロセスの明確化」への要求の変化
変更点としては「5.19 供給者関係における情報セキュリティ」と同様に、「合意すること」から「供給者管理プロセスの明確化」が求められています。

ですのでこれまで供給者との合意内のみでICT製品やサービスを利用することによるリスクを担保していた場合には、選定時や利用中の確認プロセスなども検討しても良いかもしれません。

「監査」から「評価」への要求の変更
旧規格では供給者のサービス提供を定常的に監視した上で「監査」することが要求事項とされていました。それが新規格では「評価」という言葉に置き換えられています。

ただいずれも「問題ないかちゃんとチェックしましょう」ということに変わりはないので従来の取り組みからあえて変更を行う必要はないと考えられます。
「サービス提供の変更」を管理する際に考慮すべき事項の削除
旧規格ではサービス提供の変更の管理においては「関連する業務情報、業務システム・業務プロセスの重要性、リスクの再評価」を考慮することが求められていました。
これが新規格においては表現上削除が行われています。

ただ、サービス提供される内容の変更を管理すべき理由が、旧規格に記載されていたことに変わりはないため、あえて取り組み方などを変える必要はないでしょう。

新しく登場した管理策
この管理策は旧規格で対応する管理策はない新規管理策です。
これまでは供給者管理に関する管理策などで考慮されていたものが、クラウドサービス利用が主要・中心になったことで「クラウドサービスの選定〜利用終了まで」をしっかり考えましょうと独立して管理策が作られたと考えると良いでしょう。

ですのでまずはゼロベースで対応を検討することをおすすめします。ただし従来から供給者管理などでクラウドサービスについてすでに考慮した取り組みを行っている場合は充足していると考えることもできるかもしれません。
（今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します）

表現の変更
少し表現に変更はあるものの、情報セキュリティインシデント管理の仕組みを準備することが求められているということに変わりはありません。

あえて変更点を洗い出すと、旧規格においては「管理層の責任及び手順」というように、表現が管理層にフォーカスされていました。
一方、新規格では、管理層という言葉は用いられなくなっています。

ですので従来の取り組みを変更する必要もないですが、情報セキュリティインシデント管理においては「管理層」だけに関わらず全社の関係者を巻き込む必要がないか改めて見直してみても良いかもしれません。

今回も5つの管理策について変更点を整理してみました。
供給者管理などもそうですが、よりしっかりプロセスごとの手順や取り組み方を明確にすることが求められているということを押さえておくと新規格の理解が進みやすいかもしれません。

この記事が気に入ったらサポートをしてみませんか？