2021年：最近のISMS事情

SecureNaviの井崎です。今回は「最近のISMS事情」について、3つのトピックスをご紹介します。

日本でISMS制度が誕生して20年ほど経ちます。最近はサイバーセキュリティリスクの顕在化や、プライバシー意識の高まり等に伴い、ISMSでも、以下のような変化が起こっています。

1. サイバーセキュリティ対策が JIS Q 27001 に組み込み可能に

JASA（日本セキュリティ監査協会）は、2020年に「サイバーセキュリティ対策マネジメントガイドライン Ver2.0」を公開しました。

サイバーセキュリティ対策マネジメントガイドラインVer2.0を公開しました。 | JASA (Japan Information Security Audit Association)

このガイドラインでは、ISMSの規格である JIS Q 27001 を拡張することで、サイバーセキュリティへの取り組みを、日々のISMS活動に取り入れ、実施することができるようになっています。

2. プライバシー情報に関する新しい認証制度の誕生

プライバシーに関する情報を保護するための国際規格「ISO/IEC 27701」の発行に伴い、日本でも、この規格に基づいた認証制度が開始されています。

通称「ISMS-PIMS（ピムス）」と呼ばれており、すでにISMS認証を取得している組織が追加で取得できる「アドオン認証」という立ち位置になっています。

先日、ISMSの運営元からプライバシーに関する新しい規格「ISO27701」に関するアナウンスが出たので、Pマークとの兼ね合いをイラストにまとめてみました。ISMSとPマークの統合は面倒なケースが多いので、この27701によって、脱Pマークの動きが加速するかもしれません。 pic.twitter.com/UwW4LN9aYM

— 井崎友博 / ISMS SaaSのSecureNavi (@t_1zaki) May 4, 2020

3. ISO/IEC 27002 がまもなく改定予定

ISMSの管理策として利用されている「ISO/IEC 27002」の改定が予定されています。114あった管理策の数が、93に再編される予定です。新しい管理策の中には、脅威インテリジェンスやデータマスキングなど、サイバーセキュリティやプライバシー保護を意識した内容が追加されています。

現在、ISMSを取得している会社は、これらの改定対応を行う必要がでてくる可能性があります。

JNSAの情報セキュリティマネジメントセミナーの資料が公開されています。ISO/IEC 27002 の改定により「114の管理策」の数が削減される方向に動いているようです。また、新しくクラウドや脅威インテリジェンスなどの管理策が追加されるようです（画像は資料から引用）https://t.co/BCVVCySaYF pic.twitter.com/ybYGInJvMj

— 井崎友博 / ISMS SaaSのSecureNavi (@t_1zaki) December 26, 2020

以上、変わりゆくISMSの状況について、3つのトピックスをご紹介しました。

ISMS認証も「取得して終わり」「毎年なんとなく維持して終わり」ではなく、今回ご紹介したような、最新の要素を積極的に取り入れていく必要があります。さもなくば、時代遅れのISMSをずっと運用することになり、情報セキュリティインシデントという形で、組織にダメージが及んでしまいます。

---

弊社では、ISMSオートメーションツール「SecureNavi」を提供しています！
誰でも簡単にISMSを構築し、認証取得・ISMS運用が可能です。

ISMS認証取得について相談したい方はお気軽にご連絡ください！

SecureNavi｜業界初のISMSオートメーションツール