【シリーズ】ISMS新規格の管理策　変更点まとめ＜8.16〜8.20＞

2023年2月26日 10:03

管理策の変更点まとめシリーズ第17回！
今回も引き続き「8 技術的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

本編に入る前に

規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）
JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります
規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

新しく登場した管理策
この管理策は旧規格には対応する管理策がない新規管理策です。
そのためまずはゼロベースで対応を検討することをおすすめします。
（今回は新旧規格の差分をメインのテーマとしているため、新規管理策の詳細解説は割愛します）

同期すべき時刻源の表現が「単一の参照時刻源」から「組織が採用した時刻源」に変更
旧規格では、システムは「単一の参照時刻源」と同期することが求められていましたが、新規格では「組織が採用した時刻源」と同期させることが求められています。

あえて取り組みの変更が必要とされるようなものでもないでしょうが、組織が何の・どこの時刻源を採用しているか明確にすることが重要視されており、また、多国籍に組織・事業展開などしていれば単一でない可能性なども想定されていると考えるとイメージしやすいかもしれません。

特筆すべき変更なし
「システムなどの制御を無効化できてしまう特権的なプログラムの使用を制限しましょう」という要求に変更はありません。

従来取り組んできたことを引き続き行っていきましょう。

管理策の目的が「セキュリティを保つこと」であることの明確化
旧規格では単に「ソフトウェアの導入を管理すること」が求められていただけだったのですが、新規格では「ソフトウェアの導入を”セキュリティを保って”管理すること」に表現が変わっています。

ただ、今回追加された目的はこれまでも考慮してきたことだと思いますので、従来から取り組んできたことを引き続き確実に行っていきましょう。
手順だけでなく、「対策」の実施が要求に追加
旧規格では「管理するための手順の実施」が求められていたのに対し、し新規格では「管理するための手順及び”対策”の実施」が求められています。

これまで行ってきたことでも十分充足はできていると考えて問題ないでしょうが、手順だけでセキュリティを守るのではなく、たとえば管理ツールでインストールOK・NGの制限をかけるといった手順だけでない部分の保護も考えてみると良いかもしれません。

「ネットワーク装置」も保護対象であることの明確化
ネットワークに関する管理策であることや求められていること自体に大きな変更はないのですが、旧規格では「”ネットワーク”を管理し制御すること」が求められていたのに対し、新規格では「ネットワーク及び”ネットワーク装置”のセキュリティを保ち管理し制御すること」が求められています。

ただ従来からネットワークの管理をするのであれば装置も考慮したでしょうし、また、装置に関する管理策などでもカバーされていたのであえて新たな対応が求められているものでもないと考えておいて良いでしょう。

今回は「8 技術的管理策」の5つの管理策を整理してみました。
今回も全体的に大きな変化が生じているわけではないですが、管理策の守備範囲が少し広めになっていたりするところも見受けられるので、今一度しっかり押さえておくべきポイントが全て守られているのか見直してみても良いかもしれません。

この記事が気に入ったらサポートをしてみませんか？