ISO/IEC 27001:2022 何が変わった?
はじめに
本ノートではISO/IEC 27001:2022は何が変わったのか?を概要レベルでまとめました.詳細は,みなさんが契約しているコンサルタントや,みなさんが登録している認証機関が主催しているセミナー等で情報収集してください.
規格本文(箇条4~10章)
”保持”から”利用可能な状態”に変更された箇所が複数
6.2 d),g)が追加,変更された
「6.3変更の計画策定」が追加された
8.1の表現に変更(範囲の拡大)があった
9.3 c)が追加された
6.3が追加されたので,世界中の登録組織は対応する必要があります.
規格要求事項の本文をほぼ真似たようなマニュアルを見ることがありますが,それをマニュアルと言ってしまうのはとても残念なことです.
敢えて誤解を恐れずに言いますが,力量のないコンサルタントがコンサルティングをした結果だと感じます.
附属書A
箇条の構成が大きく変わった
管理策の数が,114から93になった
だけど,削除された管理策はゼロ
今回の改訂で,複数の管理策が統合されたことが要因
あらたに11の管理策が追加された
附属書Aの構成の変化
<現行版 ISO/IEC 27001:2013>
A.5~A.18まで,14の箇条があった
<改訂版 ISO/IEC 27001:2022>
以下の4つの箇条になった
5 組織的管理策(37)
6 人的管理策(8)
7 物理的管理策(14)
8 技術的管理策(34)
カッコ内の数字の和が93になる