先日の改訂で話題！ISO/IEC27002ってなに？？

ISMS認証を取得されている企業の皆さまであれば、ISO/IEC27002（以下、27002）規格が改訂されたこと、そしてそれに伴いISMSの土台となるISO/IEC27001（以下、27001）規格の改訂が予定されているという話を耳にしている方も多いのではないでしょうか？

そこで今回は、つい最近改訂されて話題になっている27002とはそもそもなんぞやという話についてご紹介できればと思います！

ISO/IEC27002ってなに？

ISMSの土台とも言える規格の27001には、”附属書A”という形で一般的に想定されるさまざまなリスクに対応するための対策一覧のようなものが存在します（例えば「テレワークを行うことによるリスクが想定されるので、あらかじめルールを作るなどして対策してしましょう」など）。

ただ附属書Aにはざっくりとした内容しか書かれておらず、実運用にその対策を落とし込むにはなかなか抽象的です。
そこで登場するのが27002という規格になります！

27002には、附属書Aに書かれた管理策に対して、”実施の手引き”という形で、「この対策を行うためには具体的にこんなことをしたらいいですよ」といったことが書かれています（例えば前述のテレワークで言えば、「ルール作成や対策を行う際にはテレワークの場所や通信環境などを考慮した方がいいですよ」など）。

なので今回のテーマでもある27002は、さまざまなセキュリティ対策の具体的な実施方法が書かれた参考書と思っていただけるとわかりやすいかと思います。
※ただし、必ず27002に書かれていることを全てやらないといけない、ここに書かれている方法以外で管理策に対応するのはNGといったことはなく、あくまでも活用しやすいガイドラインの一つです！

27002の改訂がなぜ27001の改訂にも繋がるの？

もし27002の参考書部分が改訂されただけであれば、27001側の改訂に繋がることはなかったかもしれませんが、今回は実はそうではありません。
というのも、今回の改訂では、現代の社会情勢で考えられるリスクなどに合わせて、実施の手引きだけでなく構成や管理策の内容自体に変更が発生しました。

その結果10年程度前の情勢に合わせて作成された27001と、現代の最新情勢に合わせて作成された27002という異なる内容の規格が存在することになりました。

そこで27001側も27002に合わせて改訂を行うことで、最新の状況に合わせた規格にアップデートし、なおかつ附属書Aとその参考書となる27002の差異もなくすことになります。

---

今回は、先日規格改訂が行われたことで話題になっているISO/IEC27002についてご紹介しました！
そもそも27002とはなんなのか？そして、27002の改訂がなぜ27001の改訂にもつながっていくのかなどをイメージしていただけましたでしょうか？

今後ISO/IEC27001の改訂などが行われましたら、都度最新情報をご紹介していければと思いますので、ISMSに取り組んでいる組織の皆さまはぜひ要チェックでよろしくお願いします😆