【シリーズ】ISMS新規格の管理策　変更点まとめ＜6.6〜6.8＞

管理策の変更点まとめシリーズ第10回！
今回も「6 人的管理策」がテーマです。

引き続き「ISMSの規格改訂統合された規格って何も変わってないの？」というポイントについて、変化のあった点をまとめていますのでISMSを担当している方、新規格のことを知りたい方はぜひご覧ください！

▼シリーズをまとめたマガジンページはこちら！

https://note.com/y_hamasan/m/m3ec2e28ada35

本編に入る前に

• 規格の要求事項そのものについての言及は行なっていません（新旧での変更点にテーマを据えています）

• JIS Q27001:2014とISO/IEC 27001:2022での比較であるため、全く同じ国内規格による比較でないこと、新規格のJIS版発行時にはニュアンスが少し異なっている可能性があります

• 規格の捉え方について一部個人的な見解・解釈が含まれる可能性があります

変更点解説

6.6 秘密保持契約又は守秘義務契約

1. 「対象者の署名」が要求に追加
   「必要な内容を含めた秘密保持契約・守秘義務契約を特定・文書化・定常的なレビューをする」という要求自体に変更はありません。
   ただ新規格では新たにその秘密保持契約・守秘義務契約に「要員及びその他の関連する利害関係者が署名すること」が求められています。
   ただ基本的に契約で署名しないこともないとは思いますので、もし署名を含まないケースがある場合には注意しておきましょう。

6.7 リモートワーク

1. 「遠隔での作業すべて」を対象とする記載に変更
   「リモートワーク（テレワーク）での情報処理等を保護するためのセキュリティ対策の実施」という要求事項に変更は発生していません。
   ただ新規格では一点、「要員が遠隔で作業をする場合のセキュリティ対策の実施」という記載に変更しています。
   対応については、リモートワークに関するセキュリティ対策はそもそも「遠隔で作業することに対するもの」が行われていると思いますので、従来の対応で問題ないと考えられます。

6.8 情報セキュリティ事象の報告

1. 「報告すること」から「報告できる仕組みの構築」に要求が変更
   「情報セキュリティ事象の報告」は新旧規格ともに存在する管理策ですが、旧規格では「報告しなければならない」といったように報告することに対する要求であった一方、新規格では「報告するための仕組みを設けること」が要求されています。
   基本的には報告するための仕組みがあることが前提だとは思いますが、もし報告は従業者に任せていて、誰にどのように報告するという仕組みまでは整備していないようであれば報告経路の整備なども検討しましょう。
   

2. 「弱点」も事象の一部に吸収
   旧規格では「事象の報告」と「弱点の報告」が別の管理策として存在していましたが、新規格では「事象の報告」に弱点の報告も包括されています。
   ですので一つの報告の仕組みの中ですべて完結する形でも問題ないですし、従来報告経路や管理方法を分けていてそちらを継続するという形でも問題ないと考えられます。
   

3. 「弱点」の管理策で求められていた「記録すること」への要求の削除
   旧規格の「情報セキュリティ弱点の報告」では、「弱点は記録して報告すること」が求められいたのですが、新規格で吸収されるにあたって「記録すること」の要求は削除されています。
   ただ、記録がある方がインシデントの調査や判断、学習などもしやすいため、事象の報告の仕組みの中で記録が取れる方法を組み込んでおくのがよいかもしれません。

まとめ

今回は「6 人的管理策」の残り3つの管理策を整理してみました。

人的管理策の後半3つは秘密保持契約やリモートワーク、情報セキュリティ事象の報告など、雇用前〜雇用終了後とはまた少し違った観点での人的なセキュリティ対策について言及されています。

セキュリティ対策というと技術的な対策などをイメージしがちですが、やはり実際に情報に触るのは人であり、人の観点からセキュリティレベルを上げることも非常に重要です。

参考資料

• 『ISO/IEC 27001:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項』 ISO

• 『ISO/IEC 27002:2022情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策』ISO

• 『JIS Q 27001:2014情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―要求事項』日本規格協会