Tatecs ISOコンサルティング ISO認証取得・維持支援 タテックス有限会社 舘 喜久男
ISO27001-2022
最終更新:
tatecs
ISO27001 > ISO27001:2022とは > 4. 組織の状況から10. 改善 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001 | サイトマップ
ISO/IEC 27000(2022年版)とは
ISO27001と ISO 27002 は、ISO/IEC 27000 シリーズと呼ばれる情報セキュリティ規格群の 1つです。
この ISO/IEC 27000 シリーズは改訂され、2022年版が最新規格です。
ISO/IEC 27001:2022は、ISO/IEC27001:2013を継承した規格です。
ISO27000は、ISO/IEC 27000 シリーズの規格 の概要と、このシリーズ規格で使用される用語を定義した規格です。
国際規格の ISO27001 は、この ISO/IEC 27000 が引用規格、及び用語及び定義の参照規格として用いられています。ISO/IEC 27000 も、ISO/IEC 27001 の改訂に併せて、改訂されます。
ISO/IEC 27001 改訂のポイント
ISO/IEC 27001 の改訂のポイントは3つです。
- サイバー攻撃の高度・巧妙化です。新しいセキュリティリスクに対し、ISO規格も管理策を見直し
- 新たな技術の進歩・普及と社会情勢の変化(スマートフォン、5G、IoTデバイスの利用やデジタル活用が進み、セキュリティリスクも高まっていること)
- 組織のIT資産の分散です。従来は自社で情報システムを運用・管理する概念、オンプレミス環境が中心でしたが、クラウドサービスが急激に進み、新たな基準 (外部サービスの活用)が必要となっているのです。
追加された新しい管理策(例)には、次のようなものがあります。
| A.5. 7 | 脅威インテリジェンス |
| A.5.23 | クラウドサービス利用時の情報セキュリティ |
| A.5.30 | 事業継続のためのICT対応 |
| A.7. 4 | 物理的なセキュリティ監視 |
| A.8. 9 | 構成管理 |
| A.8.10 | 情報の削除 |
| A.8.11 | データマスキング |
| A.8.12 | データ漏えい防止 |
| A.8.16 | 監視活動 |
| A.8.23 | Webフィルタリング |
| A.8.28 | セキュリティに配慮したコーディング |
ISO/IEC27001:2013は、ISO MSS共通要素の適用、リスクマネジメント(ISO 31000)への対応を考慮した改定内容となっています。
ISO MSS共通要素は、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性を図り、組織の負担を軽減することが共通化の目的です。
マネジメントシステムの一貫性と整合性を向上させた統一された上位構造と共通テキストから構成されています。
そのために、どのようにするではなく、何をするかのマネジメントシステムの共通的な要求事項と、分野に固有な要求事項で構成されています。
ISO/IEC 27001:2022の構成
- 0. 序文
- 1. 適用範囲
- 2. 引用規格
- 3. 用語及び定義
-
4. 組織の状況
- 4.1 組織及び状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 ISMSの適用範囲の決定
- 4.4 ISMS
-
5. リーダーシップ
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
- 5.3 組織の役割、責任及び権限
-
6. 計画
-
6.1 リスク及び機会に対処する活動
- 6.1.1 一般
- 6.1.2 情報セキュリティリスクアセスメント
- 6.1.3 情報セキュリティリスク対応
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- 6.3 変更の計画策定
-
6.1 リスク及び機会に対処する活動
-
7. 支援
- 7.1 資源
- 7.2 力量
- 7.3 認識
- 7.4 コミュニケーション
-
7.5 文書化した情報
- 7.5.1 一般
- 7.5.2 作成及び更新
- 7.5.3 文書化した情報の管理
-
8. 運用
- 8.1 運用の計画及び管理
- 8.2 情報セキュリティリスクアセスメント
- 8.3 情報セキュリティリスク対応
-
9. パフォーマンス評価
- 9.1 監視、測定、分析及び評価
- 9.2 内部監査
- 9.3 マネジメントレビュー
-
10. 改善
- 10.1 継続的改善
- 10.2 不適合及び是正処置
-
付属書A.管理目的及び管理策
- A.5 組織的管理策
- A.6 人的管理策
- A.7 物理的管理策
- A.8 技術的管理策
A.5 組織的管理策(37)
-
5.2 情報セキュリティの役割及び責任、5.3 職務の分離、5.4 管理層の責任、5.5 関係当局との連絡<br>
5.13 情報のラベル付け・・・5.37 操作手順書
A.6 人的管理策(8)
-
6.1 選考、6.2 雇用条件、6.3 情報セキュリティの意識向上、教育及び訓練、6.4 懲戒手続<br>
・・・6.8 情報セキュリティ事象の報告
A.7 物理的管理策(14)
-
7.1 物理的セキュリティ境界、7.2 物理的入退、7.3 オフィス、部屋及び施設のセキュリティ、7.4 物理的セキュリティの監視<br>
7.10 記憶媒体、・・・7.14 装置のセキュリティを保った処分又は再利用
A.8 技術的管理策(34)
-
>8.20 ネットワークセキュリティ、8.22 ネットワークの分離、8.24 暗号の利用、8.26 アプリケーションセキ ュリティの要求事項<br>
8.30 外部委託による開発、・・・8.34 監査におけるテスト中の情報システムの保護
2022年版での新規認証取得支援、運用維持・改善のコンサルティングを行っております。
- お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お気軽にお問合せください。
- 既にシステム運用をしていて、改善したいのだが。。。といった改善のご相談もお気軽にお問合せください。
- 現在、ISO27001の情報セキュリティマニュアルの改良のための書き換えサービスを実施しております。
- サービス内容はお客様との相談により対応しております。お気軽にお問合せください。
-
ISO事務局の運用支援・業務代行もご相談のうえサービス提供しております。お気軽にお問合せください。
御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。
お問合せは、ここをクリック
↓
