【シリーズ】ISMS新規格の管理策 変更点まとめ<8.21〜8.25>
管理策の変更点まとめシリーズ第18回!
今回も引き続き「8 技術的管理策」がテーマです。
引き続き「ISMSの規格改訂統合された規格って何も変わってないの?」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください!
▼シリーズをまとめたマガジンページはこちら!
本編に入る前に
規格の要求事項そのものについての言及は行なっていません(新旧での変更点にテーマを据えています)
JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります
規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります
変更点解説
8.21 ネットワークサービスのセキュリティ
管理対象となるネットワークサービスの表現の平易化
旧規格においては、管理が必要なネットワークサービスについて「組織が自ら提供するか外部委託しているかを問わず、全ての」という表現がついていましたが、新規格ではこの表現が削除されています。
といって管理対象が変わるわけではないのであえて従来の取り組みや捉え方を変えて行く必要はないでしょう。「合意書」の要求が削除
旧規格ではサービスレベルや要求事項を特定の上で「ネットワークサービス合意書にもそれらを盛り込むこと」が求められていたのに対し、新規格では合意書の要求は削除されています。
ただこの管理策で要求が削除されているとはいえ、供給者管理の管理策などでも合意については触れられていますし、また、合意しておくことで責任の明確化にもつながりますので引き続き考慮しておいても良いでしょう。
8.22 ネットワークの分離
特段の変更なし
当該管理策については旧規格から大きな変更は発生していません。
従来の取り組みを継続して行っていきましょう。
8.23 ウェブフィルタリング
新しく登場した管理策
この管理策は旧規格には対応する管理策がない新規管理策です。
そのためまずはゼロベースで対応を検討することをおすすめします。
(今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します)
リンク添付型のフィッシングメールが大きな脅威と化していること、ブラウザから操作を行うクラウドサービスの普及などWebサイトにまつわる脅威が増えているということなども関連しているのかもしれません。
8.24 暗号の利用
表現の平易化
旧規格では、暗号に関する独立したカテゴリの中に暗号化の利用と鍵管理に関する管理策がそれぞれ存在していたのに対し、新規格では「暗号鍵の管理を含む暗号」という形で一つの管理策内に暗号にまつわる取り組みが全て包含されています。
記載自体はライトになっていますが、必要とされることに変わりはないので従来の取り組みを引き続き行っていきましょう。
8.25 セキュリティに配慮した開発のライフサイクル
目的が「セキュリティに配慮した開発」にあることの明確化
旧規格では単に「開発のための規則を定め適用すること」が求められていましたが、新規格ではそれは「セキュリティに配慮した開発のためのものであること」の明確化が行われました。
もともとISMSに取り組んでいるのでセキュリティを考慮していることが前提かもしれませんが、従来の管理策だとどの程度のことを考慮すべきか悩んでいた方にとってはよりイメージしやすくなったかもしれません。
まとめ
今回は「8 技術的管理策」の5つの管理策を整理してみました。
今回の管理策も多くは、これまで似ていたけど独立して存在していた管理策をまとめたり、要求の表現を丸めたりと、管理策を満たすために取り組めることの幅が広がっていることが見て取れるのではないでしょうか。
参考資料
『ISO/IEC 27001:2022情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項』 ISO
『ISO/IEC 27002:2022情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策』ISO
『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会
この記事が気に入ったらサポートをしてみませんか?