【シリーズ】ISMS新規格の管理策　変更点まとめ＜7.6〜7.10＞

管理策の変更点まとめシリーズ第12回！
今回は引き続き「7 物理的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

【シリーズ】ISMS新規格の管理策　変更点まとめ｜いしはまゆうき@LRMの情報セキュリティコンサルタント｜note

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

7.6 セキュリティを保つべき領域での作業

1. 「手順の設計」から「対策の設計」に要求が変更
   管理策のテーマ自体に変更はないのですが、旧規格では「作業に関する手順」を整備することが求められていたのに対し、新規格では「作業に関するセキュリティ対策」を設計し実施することが求められています。
   
   ですのでこれまで行ってきたことが無駄になっているというよりもは、手順も対策の一種として実施できることの幅が広がったと捉えるのがよいかもしれません。

7.7 クリアデスク・クリアスクリーン

1. 「実施させること」までが明確に要求化
   旧規格では「クリアデスク・クリアスクリーン方針を適用させること」が求められていたのですが、新規格では「クリアデスク・クリアスクリーンの規則を定め実施させること」が求められています。
   
   ただ、方針を適用させるということは実質現場に守ってもらっているはずですのであえて新たな取り組みを行う必要はないでしょう。」

7.8 装置の設置及び保護

1. 記載の平易化
   要求事項については旧規格から大きな変更はありません。
   ただ書きっぷりとして、旧規格では装置の設置について「〇〇というリスク低減のために」といったように何のために実施するか詳細に記載されていたのに対し、新規格では「セキュリティを保って設置し」と記載が変化しています。
   
   ただもちろん行うべき理由に変更が生じているわけではないので従来通りの取り組みを引き続き行うことが大切です。

7.9 構外にある資産のセキュリティ

1. 保護のために考慮すべき事項の削除
   「構外（オフィスの外）にある資産を保護する」という要求に変更はありません。
   
   ただ旧規格では「構外での作業に伴う通常と異なるリスクを考慮に入れて」保護することが求められていたのに対し、新規格では単純に「保護しましょう」という書きっぷりになっています。
   
   とは言いつつも守らないといけないことに変わりはないので、従来通りの取り組みを引き続き行うことが大切です。

7.10 記憶媒体

1. 管理策一つで、記憶媒体に関するライフサイクル全てを網羅する形に変更
   旧規格では記憶媒体に関する管理策として、媒体管理の管理策と処分に関する管理策は別々に存在していました。
   それが新規格ではひとつの管理策の中で、取得から使用、移送や廃棄に至るまで取扱のライフサイクル全般を考慮することが求められています。
   
   ただ従来の取り組みにおいて記憶媒体の取り扱いに関する仕組みがしっくりできていれば十分対応できていると言えるので、改めて新たな施策を行う必要はないと考えて問題ないでしょう。

まとめ

今回は「7 物理的管理策」の5つの管理策を整理してみました。
最後の7.10などもそうなのですが、新規格では同じ媒体などについてはライフサイクル全般を一つの管理策で網羅するようなものも増えています。
なので同じ媒体の話なのに別の管理策で対応を考えないといけないという煩わしさは減っているかもしれませんね。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会