ISO/IEC27001 規格改訂情報
ISO/IEC27001:2022が2022年10月25日に発行されました。
ISO/IEC27001:2022への改訂において、2013年版からの本文の追加・変更は少なく、要求事項にも大きな追加・変更はありません。
今回の改訂では2022年2月に改訂されたISO/IEC27002:2022に併せて、附属書Aが全面的に改訂されています。
新規管理策も11項目追加されていますので見直しが必要になります。
本文の改訂について
今回の改訂において、本文についての追加・変更の内容は以下の通りです。
・ISO/IEC27001:2022の構造とテキストに、最新版の規格として共通の形式が反映されました。
・ISO31000の改訂に対応して、本規格で参照しているISO31000の箇条番号が変更されました(参照する内容についての変更はありません)。
各項番ごとの改訂、及び要求事項の追加・変更の有無は下記の表を参照してください。
※赤字は2022年版で新しく追加された項番です。
| 改訂版 | |||
| (ISO/IEC27001:2022) | 改訂 | 要求事項の 追加・変更 | |
| 0.序文 | 0.1 概要 | ||
| 0.2 他のマネジメントシステム規格との両立性 | |||
| 1.適用範囲 | |||
| 2.引用規格 | |||
| 3.用語及び定義 | |||
| 4.組織の状況 | 4.1 組織及びその状況の理解 | 有 | 無 |
| 4.2 利害関係者のニーズ及び期待の理解 | 有 | 無 | |
| 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 | |||
| 4.4 情報セキュリティマネジメントシステム | 有 | 無 | |
| 5.リーダーシップ | 5.1 リーダーシップ及びコミットメント | 有 | 無 |
| 5.2 方針 | |||
| 5.3 組織の役割、責任及び権限 | 有 | 無 | |
| 6.計画 | 6.1 リスク及び機会に対処する活動 | ||
| 6.1.1 一般 | |||
| 6.1.2 情報セキュリティリスクアセスメント | |||
| 6.1.3 情報セキュリティリスク対応 | 有 | 無 | |
| 6.2 情報セキュリティ目的及びそれを達成するための計画策定 | 有 | 有 | |
| 6.3 変更の計画策定 | 有 | 有 | |
| 7.支援 | 7.1 資源 | ||
| 7.2 力量 | |||
| 7.3 認識 | |||
| 7.4 コミュニケーション | 有 | (有) | |
| 7.5 文書化した情報 | |||
| 7.5.1 一般 | |||
| 7.5.2 作成及び更新 | |||
| 7.5.3 文書化した情報の管理 | |||
| 8.運用 | 8.1 運用の計画及び管理 | 有 | 有 |
| 8.2 情報セキュリティリスクアセスメント | |||
| 8.3 情報セキュリティリスク対応 | |||
| 9.パフォーマンス評価 | 9.1 監視、測定、分析及び評価 | 有 | 無 |
| 9.2 内部監査 | |||
| 9.2.1 一般 | 有 | 無 | |
| 9.2.2 内部監査プログラム | 有 | 無 | |
| 9.3 マネジメントレビュー | |||
| 9.3.1 一般 | 有 | 無 | |
| 9.3.2 マネジメントレビューへのインプット | 有 | 有 | |
| 9.3.3 マネジメントレビューの結果 | 有 | 無 | |
| 10.改善 | 10.1 継続的改善 | 有 | 無 |
| 10.2 不適合及び是正処置 | 有 | 無 | |
附属書A 管理策の変更点について
附属書A 管理策はISO/IEC27002:2022の箇条5~箇条8に規定したものがそのまま取り入れられており、 両者の整合が保たれています。
2013年版からの変更点として、管理策体系の簡素化のため、その主な側面に基づき4群にまとめられました。
また、ISO/IEC27002:2022における管理目的の扱いが変更されたことに対応して、管理目的への言及が削除されました。
| ISO/IEC 27002:2022 | 項目数 |
| 5 組織的管理策 | 37 |
| 6 人的管理策 | 8 |
| 7 物理的管理策 | 14 |
| 8 技術的管理策 | 34 |
| 合計 | 93 |
| ISO/IEC 27002:2013 | 項目数 |
| 5 情報セキュリティのための方針群 | 2 |
| 6 情報セキュリティのための組織 | 7 |
| 7 人的資源のセキュリティ | 6 |
| 8 資産の管理 | 10 |
| 9 アクセス制御 | 14 |
| 10 暗号 | 2 |
| 11 物理的及び環境的セキュリティ | 15 |
| 12 運用のセキュリティ | 14 |
| 13 通信のセキュリティ | 7 |
| 14 システムの取得、開発及び保守 | 13 |
| 15 供給者関係 | 5 |
| 16 情報セキュリティインシデント管理 | 7 |
| 17 事業継続マネジメントにおける情報セキュリティの側面 | 4 |
| 18 順守 | 8 |
| 合計 | 114 |
管理策の対比表
下記の表はISO/IEC27001:2022とISO/IEC27001:2013の対比表です。
ISO/IEC27001:2022のそれぞれの管理策に対して、どの項目が属しているかを一覧したい場合に参照してください。
※赤字は2022年版で新しく追加された項番です。
| ISO/IEC27001:2022 | ISO/IEC27001:2013 | |
| 組織的 管理策 | 5.1 情報セキュリティのための方針群 | A.5.1.1 情報セキュリティのための方針群 |
| A.5.1.2 情報セキュリティのための方針群のレビュー | ||
| 5.2 情報セキュリティの役割及び責任 | A.6.1.1 情報セキュリティの役割及び責任 | |
| 5.3 職務の分離 | A.6.1.2 職務の分離 | |
| 5.4 経営陣の責任 | A.7.2.1 経営陣の責任 | |
| 5.5 関係当局との連絡 | A.6.1.3 関係当局との連絡 | |
| 5.6 専門組織との連絡 | A.6.1.4 専門組織との連絡 | |
| 5.7 脅威インテリジェンス | - | |
| 5.8 プロジェクトマネジメントにおける情報セキュリティ | A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ | |
| A.14.1.1 情報セキュリティ要求事項の分析及び仕様化 | ||
| 5.9 情報及びその他の関連資産の目録 | A.8.1.1 資産目録 | |
| A.8.1.2 資産の管理責任 | ||
| 5.10 情報及びその他の関連資産の許容される利用 | A.8.1.3 資産利用の許容範囲 | |
| A.8.2.3 資産の取扱い | ||
| 5.11 資産の返却 | A.8.1.4 資産の返却 | |
| 5.12 情報の分類 | A.8.2.1 情報の分類 | |
| 5.13 情報のラベル付け | A.8.2.2 情報のラベル付け | |
| 5.14 情報転送 | A.13.2.1 情報転送の方針及び手順 | |
| A.13.2.2 情報転送に関する合意 | ||
| A.13.2.3 電子的メッセージ通信 | ||
| 5.15 アクセス制御 | A.9.1.1 アクセス制御方針 | |
| A.9.1.2 ネットワーク及びネットワークサービスへのアクセス | ||
| 5.16 識別情報の管理 | A.9.2.1 利用者登録及び登録削除 | |
| 5.17 認証情報 | A.9.2.4 利用者の秘密認証情報の管理 | |
| A.9.3.1 秘密認証情報の利用 | ||
| A.9.4.3 パスワード管理システム | ||
| 5.18 アクセス権 | A.9.2.2 利用者アクセスの提供 | |
| A.9.2.5 利用者アクセス権のレビュー | ||
| A.9.2.6 アクセス権の削除又は修正 | ||
| 5.19 供給者関係における情報セキュリティ | A.15.1.1 供給者関係のための情報セキュリティの方針 | |
| 5.20 供給者との合意における情報セキュリティの取扱い | A.15.1.2 供給者との合意におけるセキュリティの取扱い | |
| 5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 | A.15.1.3 ICT サプライチェーン | |
| 5.22 供給者のサービス提供の監視、レビュー及び変更管理 | A.15.2.1 供給者のサービス提供の監視及びレビュー | |
| A.15.2.2 供給者のサービス提供の変更に対する管理 | ||
| 5.23 クラウドサービスの利用における情報セキュリティ | - | |
| 5.24 情報セキュリティインシデント管理の計画策定及び準備 | A.16.1.1 責任及び手順 | |
| 5.25 情報セキュリティ事象の評価及び決定 | A.16.1.4 情報セキュリティ事象の評価及び決定 | |
| 5.26 情報セキュリティインシデントへの対応 | A.16.1.5 情報セキュリティインシデントへの対応 | |
| 5.27 情報セキュリティインシデントからの学習 | A.16.1.6 情報セキュリティインシデントからの学習 | |
| 5.28 証拠の収集 | A.16.1.7 証拠の収集 | |
| 5.29 事業の中断・阻害時の情報セキュリティ | A.17.1.1 情報セキュリティ継続の計画 | |
| A.17.1.2 情報セキュリティ継続の実施 | ||
| A.17.1.3 情報セキュリティ継続の検証,レビュー及び評価 | ||
| 5.30 事業継続のためのICTの備え | - | |
| 5.31 法令、規制及び契約上の要求事項 | A.18.1.1 適用法令及び契約上の要求事項の特定 | |
| A.18.1.5 暗号化機能に対する規制 | ||
| 5.32 知的財産権 | A.18.1.2 知的財産権 | |
| 5.33 記録の保護 | A.18.1.3 記録の保護 | |
| 5.34 プライバシー及びPIIの保護 | A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護 | |
| 5.35 情報セキュリティの独立したレビュー | A.18.2.1 情報セキュリティの独立したレビュー | |
| 5.36 情報セキュリティのための方針群、規則及び標準の順守 | A.18.2.2 情報セキュリティのための方針群及び標準の順守 | |
| A.18.2.3 技術的順守のレビュー | ||
| 5.37 操作手順書 | A.12.1.1 操作手順書 | |
| 人的 管理策 | 6.1 選考 | A.7.1.1 選考 |
| 6.2 雇用条件 | A.7.1.2 雇用条件 | |
| 6.3 情報セキュリティの意識向上、教育及び訓練 | A.7.2.2 情報セキュリティの意識向上,教育及び訓練 | |
| 6.4 懲戒手続 | A.7.2.3 懲戒手続 | |
| 6.5 雇用の終了又は変更後の責任 | A.7.3.1 雇用の終了又は変更に関する責任 | |
| 6.6 秘密保持契約又は守秘義務契約 | A.13.2.4 秘密保持契約又は守秘義務契約 | |
| 6.7 リモートワーク | A.6.2.2 テレワーキング | |
| 6.8 情報セキュリティ事象の報告 | A.16.1.2 情報セキュリティ事象の報告 | |
| A.16.1.3 情報セキュリティ弱点の報告 | ||
| 物理的 管理策 | 7.1 物理的セキュリティ境界 | A.11.1.1 物理的セキュリティ境界 |
| 7.2 物理的入退 | A.11.1.2 物理的入退管理策 | |
| A.11.1.6 受渡場所 | ||
| 7.3 オフィス、部屋及び施設のセキュリティ | A.11.1.3 オフィス,部屋及び施設のセキュリティ | |
| 7.4 物理的セキュリティの監視 | - | |
| 7.5 物理的及び環境的脅威からの保護 | A.11.1.4 外部及び環境の脅威からの保護 | |
| 7.6 セキュリティを保つべき領域での作業 | A.11.1.5 セキュリティを保つべき領域での作業 | |
| 7.7 クリアデスク・クリアスクリーン | A.11.2.9 クリアデスク・クリアスクリーン方針 | |
| 7.8 装置の設置及び保護 | A.11.2.1 装置の設置及び保護 | |
| 7.9 構外にある資産のセキュリティ | A.11.2.6 構外にある装置及び資産のセキュリティ | |
| 7.10 記憶媒体 | A.8.3.1 取外し可能な媒体の管理 | |
| A.8.3.2 媒体の処分 | ||
| A.8.3.3 物理的媒体の輸送 | ||
| A.11.2.5 資産の移動 | ||
| 7.11 サポートユーティリティ | A.11.2.2 サポートユーティリティ | |
| 7.12 ケーブル配線のセキュリティ | A.11.2.3 ケーブル配線のセキュリティ | |
| 7.13 装置の保守 | A.11.2.4 装置の保守 | |
| 7.14 装置のセキュリティを保った処分又は再利用 | A.11.2.7 装置のセキュリティを保った処分又は再利用 | |
| 技術的 管理策 | 8.1 利用者エンドポイント機器 | A.6.2.1 モバイル機器の方針 |
| A.11.2.8 無人状態にある利用者装置 | ||
| 8.2 特権的アクセス権 | A.9.2.3 特権的アクセス権の管理 | |
| 8.3 情報へのアクセス制限 | A.9.4.1 情報へのアクセス制限 | |
| 8.4 ソースコードへのアクセス | A.9.4.5 プログラムソースコードへのアクセス制御 | |
| 8.5 セキュリティを保った認証 | A.9.4.2 セキュリティに配慮したログオン手順 | |
| 8.6 容量・能力の管理 | A.12.1.3 容量・能力の管理 | |
| 8.7 マルウェアに対する保護 | A.12.2.1 マルウェアに対する管理策 | |
| 8.8 技術的ぜい弱性の管理 | A.12.6.1 技術的ぜい弱性の管理 | |
| A.18.2.3 技術的順守のレビュー | ||
| 8.9 構成管理 | - | |
| 8.10 情報の削除 | - | |
| 8.11 データマスキング | - | |
| 8.12 データ漏えいの防止 | - | |
| 8.13 情報のバックアップ | A.12.3.1 情報のバックアップ | |
| 8.14 情報処理施設の冗長性 | A.17.2.1 情報処理施設の可用性 | |
| 8.15 ログ取得 | A.12.4.1 イベントログ取得 | |
| A.12.4.2 ログ情報の保護 | ||
| A.12.4.3 実務管理者及び運用担当者の作業ログ | ||
| 8.16 監視活動 | - | |
| 8.17 クロックの同期 | A.12.4.4 クロックの同期 | |
| 8.18 特権的なユーティリティプログラムの使用 | A.9.4.4 特権的なユーティリティプログラムの使用 | |
| 8.19 運用システムに関わるソフトウェアの導入 | A.12.5.1 運用システムに関わるソフトウェアの導入 | |
| A.12.6.2 ソフトウェアのインストールの制限 | ||
| 8.20 ネットワークのセキュリティ | A.13.1.1 ネットワーク管理策 | |
| 8.21 ネットワークサービスのセキュリティ | A.13.1.2 ネットワークサービスのセキュリティ | |
| 8.22 ネットワークの分離 | A.13.1.3 ネットワークの分離 | |
| 8.23 ウェブ・フィルタリング | - | |
| 8.24 暗号の利用 | A.10.1.1 暗号による管理策の利用方針 | |
| A.10.1.2 鍵管理 | ||
| 8.25 セキュリティに配慮した開発のライフサイクル | A.14.2.1 セキュリティに配慮した開発のための方針 | |
| 8.26 アプリケーションのセキュリティの要求事項 | A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 | |
| A.14.1.3 アプリケーションサービスのトランザクションの保護 | ||
| 8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 | A.14.2.5 セキュリティに配慮したシステム構築の原則 | |
| 8.28 セキュリティに配慮したコーディング | - | |
| 8.29 開発及び受入れにおけるセキュリティテスト | A.14.2.8 システムセキュリティの試験 | |
| A.14.2.9 システムの受入れ試験 | ||
| 8.30 外部委託による開発 | A.14.2.7 外部委託による開発 | |
| 8.31 開発環境、試験環境及び運用環境の分離 | A.12.1.4 開発環境,試験環境及び運用環境の分離 | |
| A.14.2.6 セキュリティに配慮した開発環境 | ||
| 8.32 変更管理 | A.12.1.2 変更管理 | |
| A.14.2.2 システムの変更管理手順 | ||
| A.14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー | ||
| A.14.2.4 パッケージソフトウェアの変更に対する制限 | ||
| 8.33 テスト用情報 | A.14.3.1 試験データの保護 | |
| 8.34 監査試験中の情報システムの保護 | A.12.7.1 情報システムの監査に対する管理策 |