【シリーズ】ISMS新規格の管理策　変更点まとめ＜8.6〜8.10＞

いしはまゆうき@LRMの情報セキュリティコンサルタント

2023年2月24日 10:09

管理策の変更点まとめシリーズ第15回！
今回も引き続き「8 技術的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

https://note.com/y_hamasan/m/m3ec2e28ada35

本編に入る前に

規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）
JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります
規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

8.6 容量・能力の管理

管理の目的が「要求されたシステム性能を満たすこと」に限られなくなった
旧規格では、「要求されたシステム性能を満たすため」に資源の利用の監視・調整、また将来必要な容量・能力の予測が求められていました。

一方新規格においては「現在及び予測される容量・能力の要求事項に合わせて」という記載に変更しています。
大きく求められていることが変わっているものではないですが、必要な性能を満たすためだけでなく、組織として様々な観点から必要と判断した容量・能力をしっかり担保していきましょうというニュアンスに変わったと捉えておくのがよいかと思います。

8.7 マルウェアに対する保護

表現の平易化
新旧規格でマルウェア対策を行うという要求に変更はありません。

ただ、旧規格では、「利用者に認識させること、検出、予防、回復のための対策の実施」といったように色々と書かれていたのに対して、新規格では「保護を実施して、それを利用者の認識で支援しましょう」といったようにまとめたような表現に変更しています。

表現は変更していますが、保護のための取り組みに検出、予防、回復様々な観点が含まれることに変わりはないので従来取り組んできたことを適切に継続するとよいと考えられます。

8.8 技術的ぜい弱性の管理

「時機を失せず」という要求の削除
旧規格では「技術的ぜい弱性の情報を時機を失せず獲得すること」が求められていたのに対し、新規格の要求は「技術的ぜい弱性の情報を獲得すること」にとどめられています。

といって情報収集が遅れてよいというものではなく、できるだけリアルタイムで情報を獲得して対応していくべきであることに変わりはないので、コミュニケーションや専門組織との連絡、脅威インテリジェンスといった各種規格・管理策を活用しながら情報収集を行っていきましょう。
「技術的順守のレビュー」の要求の削除
今回の規格統合において、一応新規格における「技術的ぜい弱性の管理」には旧規格の「技術的ぜい弱性の管理」に加え、「技術的順守のレビュー」も統合されていることになってはいるのですが、新規格にはこの要求は反映されていません。

ただ全く考慮しなくても良くなったというよりもは、もうひとつの統合先である「情報セキュリティのための方針群、規則及び標準の順守」でしっかり対応したり、この管理策の中でも技術的順守をするためにも「しっかり技術的ぜい弱性を管理する」というように背景として持っておくと、より有効的な取り組みを行うことができるかもしれません。

8.9 構成管理

新しく登場した管理策
この管理策は旧規格には対応する管理策がない新規管理策です。
そのためまずはゼロベースで対応を検討することをおすすめします。
（今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します）

8.10 情報の削除

新しく登場した管理策
この管理策は旧規格には対応する管理策がない新規管理策です。
ただ、「情報を適切に削除する」という考え方自体は従来から十分に考慮されてきていることだと思いますので、これまでも踏まえつつあらためて対応を整理することをおすすめします。
（今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します）

まとめ

今回は「8 技術的管理策」の5つの管理策を整理してみました。
ご紹介したものは従来からあるもの、新規管理策入り混じっていますが、全てが全く新しいわけではなく、従来からある考え方をより明確にしたというイメージに近いかもしれませんね。

参考資料

この記事が気に入ったらサポートをしてみませんか？