ISO/IEC27001規格改訂情報

最終更新:2022年11月30日

ISO/IEC27001:2022が2022年10月25日に発行されました。
ISO/IEC 27001:2022 への改訂において、2013年版からの本文の追加・変更は少なく、要求事項にも大きな追加・変更は
ありません。
今回の改訂では、2022年2月に改訂されたISO/IEC27002:2022に併せて、附属書Aが全面的に改訂されています。
新規管理策も11項目追加されていますので、見直しが必要になります。

※改訂内容の詳細については、eラーニング無料講座「ISO/IEC27001:2022 規格改訂説明動画」で解説しておりますので
  一度ご視聴いただくことを推奨いたします。


1.本文の改訂について

今回の改訂において、本文についての追加・変更の内容は以下の通りです。

・ISO/IEC27001:2022の構造とテキストに、最新版の規格として共通の形式が反映されました。
・ISO31000の改訂に対応して、本規格で参照しているISO31000の箇条番号が変更されました(参照する内容についての
   変更はありません)。

各項番ごとの改訂、及び要求事項の追加・変更の有無は下記の表を参照してください。
※赤字は2022年版で新しく追加された項番です。


改訂版
(ISO/IEC27001:2022)
改訂
要求事項の追加・変更
  0.序文   0.1 概要
  0.2 他のマネジメントシステム規格との両立性
  1.適用範囲
  2.引用規格
  3.用語及び定義
  4.組織の状況   4.1 組織及びその状況の理解
  4.2 利害関係者のニーズ及び期待の理解
  4.3 情報セキュリティマネジメントシステムの
        適用範囲の決定
  4.4 情報セキュリティマネジメントシステム
  5.リーダーシップ   5.1 リーダーシップ及びコミットメント
  5.2 方針
  5.3 組織の役割、責任及び権限
  6.計画策定   6.1 リスク及び機会に対処する活動
  6.1.1 一般
  6.1.2 情報セキュリティリスクアセスメント
  6.1.3 情報セキュリティリスク対応
  6.2 情報セキュリティ目的及び
      それを達成するための計画策定
  6.3 変更の計画策定
  7.支援   7.1 資源
  7.2 力量
  7.3 認識
  7.4 コミュニケーション
(有)
  7.5 文書化した情報
  7.5.1 一般
  7.5.2 作成及び更新
  7.5.3 文書化した情報の管理
  8.運用   8.1 運用の計画策定及び管理
  8.2 情報セキュリティリスクアセスメント
  8.3 情報セキュリティリスク対応
  9.パフォーマンス評価   9.1 監視、測定、分析及び評価
  9.2 内部監査
  9.2.1 一般
  9.2.2 内部監査プログラム
  9.3 マネジメントレビュー
  9.3.1 一般
  9.3.2 マネジメントレビューへのインプット
  9.3.3 マネジメントレビューの結果
10.改善 10.1 継続的改善
10.2 不適合及び是正処置


2.附属書A 管理策の変更点について

附属書A 管理策は、ISO/IEC27002:2022の箇条5〜箇条8に規定したものがそのまま取り入れられており、 両者の
整合が保たれています。
2013年版からの変更点として、管理策体系の簡素化のため、その主な側面に基づき4群にまとめられました。
また、ISO/IEC27002:2022における管理目的の扱いが変更されたことに対応して、管理目的への言及が削除されました。


ISO/IEC 27002:2022
項目数
5 組織的管理策
37
6 人的管理策
8
7 物理的管理策
14
8 技術的管理策
34
合計
93
ISO/IEC 27002:2013
項目数
  5 情報セキュリティのための方針群
2
  6 情報セキュリティのための組織
7
  7 人的資源のセキュリティ
6
  8 資産の管理
10
  9 アクセス制御
14
10 暗号
2
11 物理的及び環境的セキュリティ
15
12 運用のセキュリティ
14
13 通信のセキュリティ
7
14 システムの取得、開発及び保守
13
15 供給者関係
5
16 情報セキュリティインシデント管理
7
17 事業継続マネジメントにおける情報セキュリティの側面
4
18 順守
8
合計
114


3.管理策の対比表

下記の表はISO/IEC27001:2022とISO/IEC27001:2013の対比表です。
ISO/IEC27001:2022のそれぞれの管理策に対して、どの項目が属しているかを一覧したい場合に参照してください。
※赤字は2022年版で新しく追加された項番です。

ISO/IEC27001:2022
ISO/IEC27001:2013
5.
組織的管理策
5.1 情報セキュリティのための方針群 A.5.1.1 情報セキュリティのための方針群
A.5.1.2 情報セキュリティのための方針群のレビュー
5.2 情報セキュリティの役割及び責任 A.6.1.1 情報セキュリティの役割及び責任
5.3 職務の分離 A.6.1.2 職務の分離
5.4 管理層の責任 A.7.2.1 経営陣の責任
5.5 関係当局との連絡 A.6.1.3 関係当局との連絡
5.6 専門組織との連絡 A.6.1.4 専門組織との連絡
5.7 脅威インテリジェンス
-
5.8 プロジェクトマネジメントにおける情報セキュリティ A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
A.14.1.1 情報セキュリティ要求事項の分析及び仕様化
5.9 情報及びその他の関連資産の目録 A.8.1.1 資産目録
A.8.1.2 資産の管理責任
5.10 情報及びその他の関連資産の許容される利用 A.8.1.3 資産利用の許容範囲
A.8.2.3 資産の取扱い
5.11 資産の返却 A.8.1.4 資産の返却
5.12 情報の分類 A.8.2.1 情報の分類
5.13 情報のラベル付け A.8.2.2 情報のラベル付け
5.14 情報の転送 A.13.2.1 情報転送の方針及び手順
A.13.2.2 情報転送に関する合意
A.13.2.3 電子的メッセージ通信
5.15 アクセス制御 A.9.1.1 アクセス制御方針
A.9.1.2 ネットワーク及びネットワークサービスへのアクセス
5.16 識別情報の管理 A.9.2.1 利用者登録及び登録削除
5.17 認証情報 A.9.2.4 利用者の秘密認証情報の管理
A.9.3.1 秘密認証情報の利用
A.9.4.3 パスワード管理システム
5.18 アクセス権 A.9.2.2 利用者アクセスの提供
A.9.2.5 利用者アクセス権のレビュー
A.9.2.6 アクセス権の削除又は修正
5.19 供給者関係における情報セキュリティ A.15.1.1 供給者関係のための情報セキュリティの方針
5.20 供給者との合意における情報セキュリティの取扱い A.15.1.2 供給者との合意におけるセキュリティの取扱い
5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 A.15.1.3 ICT サプライチェーン
5.22 供給者のサービス提供の監視、レビュー及び変更管理 A.15.2.1 供給者のサービス提供の監視及びレビュー
A.15.2.2 供給者のサービス提供の変更に対する管理
5.23 クラウドサービスの利用における情報セキュリティ
-
5.24 情報セキュリティインシデント管理の計画策定及び準備 A.16.1.1 責任及び手順
5.25 情報セキュリティ事象の評価及び決定 A.16.1.4 情報セキュリティ事象の評価及び決定
5.26 情報セキュリティインシデントへの対応 A.16.1.5 情報セキュリティインシデントへの対応
5.27 情報セキュリティインシデントからの学習 A.16.1.6 情報セキュリティインシデントからの学習
5.28 証拠の収集 A.16.1.7 証拠の収集
5.29 事業の中断・阻害時の情報セキュリティ A.17.1.1 情報セキュリティ継続の計画
A.17.1.2 情報セキュリティ継続の実施
A.17.1.3 情報セキュリティ継続の検証,レビュー及び評価
5.30 事業継続のためのICTの備え
-
5.31 法令、規制及び契約上の要求事項 A.18.1.1 適用法令及び契約上の要求事項の特定
A.18.1.5 暗号化機能に対する規制
5.32 知的財産権 A.18.1.2 知的財産権
5.33 記録の保護 A.18.1.3 記録の保護
5.34 プライバシー及び個人識別可能情報(PII)の保護 A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護
5.35 情報セキュリティの独立したレビュー A.18.2.1 情報セキュリティの独立したレビュー
5.36 情報セキュリティのための方針群、規則及び標準の順守 A.18.2.2 情報セキュリティのための方針群及び標準の順守
A.18.2.3 技術的順守のレビュー
5.37 操作手順書 A.12.1.1 操作手順書
6.
人的
管理策
6.1 選考 A.7.1.1 選考
6.2 雇用条件 A.7.1.2 雇用条件
6.3 情報セキュリティの意識向上、教育及び訓練 A.7.2.2 情報セキュリティの意識向上,教育及び訓練
6.4 懲戒手続 A.7.2.3 懲戒手続
6.5 雇用の終了又は変更後の責任 A.7.3.1 雇用の終了又は変更に関する責任
6.6 秘密保持契約又は守秘義務契約 A.13.2.4 秘密保持契約又は守秘義務契約
6.7 リモートワーク A.6.2.2 テレワーキング
6.8 情報セキュリティ事象の報告 A.16.1.2 情報セキュリティ事象の報告
A.16.1.3 情報セキュリティ弱点の報告
7.
物理的管理策
7.1 物理的セキュリティ境界 A.11.1.1 物理的セキュリティ境界
7.2 物理的入退 A.11.1.2 物理的入退管理策
A.11.1.6 受渡場所
7.3 オフィス、部屋及び施設のセキュリティ A.11.1.3 オフィス,部屋及び施設のセキュリティ
7.4 物理的セキュリティの監視
-
7.5 物理的及び環境的脅威からの保護 A.11.1.4 外部及び環境の脅威からの保護
7.6 セキュリティを保つべき領域での作業 A.11.1.5 セキュリティを保つべき領域での作業
7.7 クリアデスク・クリアスクリーン A.11.2.9 クリアデスク・クリアスクリーン方針
7.8 装置の設置及び保護 A.11.2.1 装置の設置及び保護
7.9 構外にある資産のセキュリティ A.11.2.6 構外にある装置及び資産のセキュリティ
7.10 記憶媒体 A.8.3.1 取外し可能な媒体の管理
A.8.3.2 媒体の処分
A.8.3.3 物理的媒体の輸送
A.11.2.5 資産の移動
7.11 サポートユーティリティ A.11.2.2 サポートユーティリティ
7.12 ケーブル配線のセキュリティ A.11.2.3 ケーブル配線のセキュリティ
7.13 装置の保守 A.11.2.4 装置の保守
7.14 装置のセキュリティを保った処分又は再利用 A.11.2.7 装置のセキュリティを保った処分又は再利用
8.
技術的管理策
8.1 利用者エンドポイント機器 A.6.2.1 モバイル機器の方針
A.11.2.8 無人状態にある利用者装置
8.2 特権的アクセス権 A.9.2.3 特権的アクセス権の管理
8.3 情報へのアクセス制限 A.9.4.1 情報へのアクセス制限
8.4 ソースコードへのアクセス A.9.4.5 プログラムソースコードへのアクセス制御
8.5 セキュリティを保った認証 A.9.4.2 セキュリティに配慮したログオン手順
8.6 容量・能力の管理 A.12.1.3 容量・能力の管理
8.7 マルウェアに対する保護 A.12.2.1 マルウェアに対する管理策
8.8 技術的ぜい弱性の管理 A.12.6.1 技術的ぜい弱性の管理
A.18.2.3 技術的順守のレビュー
8.9 構成管理
-
8.10 情報の削除
-
8.11 データマスキング
-
8.12 データ漏えい防止
-
8.13 情報のバックアップ A.12.3.1 情報のバックアップ
8.14 情報処理施設・設備の冗長性 A.17.2.1 情報処理施設の可用性
8.15 ログ取得 A.12.4.1 イベントログ取得
A.12.4.2 ログ情報の保護
A.12.4.3 実務管理者及び運用担当者の作業ログ
8.16 監視活動
-
8.17 クロックの同期 A.12.4.4 クロックの同期
8.18 特権的なユーティリティプログラムの使用 A.9.4.4 特権的なユーティリティプログラムの使用
8.19 運用システムへのソフトウェアの導入 A.12.5.1 運用システムに関わるソフトウェアの導入
A.12.6.2 ソフトウェアのインストールの制限
8.20 ネットワークのセキュリティ A.13.1.1 ネットワーク管理策
8.21 ネットワークサービスのセキュリティ A.13.1.2 ネットワークサービスのセキュリティ
8.22 ネットワークの分離 A.13.1.3 ネットワークの分離
8.23 ウェブフィルタリング
-
8.24 暗号の利用 A.10.1.1 暗号による管理策の利用方針
A.10.1.2 鍵管理
8.25 セキュリティに配慮した開発のライフサイクル A.14.2.1 セキュリティに配慮した開発のための方針
8.26 アプリケーションセキュリティの要求事項 A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
A.14.1.3 アプリケーションサービスのトランザクションの保護
8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 A.14.2.5 セキュリティに配慮したシステム構築の原則
8.28 セキュリティに配慮したコーディング
-
8.29 開発及び受入れにおけるセキュリティテスト A.14.2.8 システムセキュリティの試験
A.14.2.9 システムの受入れ試験
8.30 外部委託による開発 A.14.2.7 外部委託による開発
8.31 開発環境、テスト環境及び本番環境の分離 A.12.1.4 開発環境,試験環境及び運用環境の分離
A.14.2.6 セキュリティに配慮した開発環境
8.32 変更管理 A.12.1.2 変更管理
A.14.2.2 システムの変更管理手順
A.14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
A.14.2.4 パッケージソフトウェアの変更に対する制限
8.33 テスト用情報 A.14.3.1 試験データの保護
8.34 監査におけるテスト中の情報システムの保護 A.12.7.1 情報システムの監査に対する管理策