ISO/IEC 27001:2022に対応したJIS Q 27001:2023『情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項』が2023年9月20日に発行されました。
JIS Q 27001は、情報セキュリティマネジメントシステム(ISMS)の規格です。
組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を規定するとともに、組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても定めています。
ISMSを既に導入している組織、そして、これから導入をお考えの組織は、JIS Q 27001:2023の理解が必須となります。
このページでは、9年ぶりとなる改正の主なポイントをお知らせ致します。
ISO/IEC 27002:2022で定める管理策との整合化
情報セキュリティリスク対応のための要求事項として、本規格の附属書Aで規定する管理策については、参照しているISO/IEC 27002(情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策)が、最近の新たな脅威、技術動向などを踏まえて2022年に改訂されたことから、この最新版を反映しています。
具体的には、11項目の管理策を新規に追加し、58項目の管理策を更新。残りの管理策を24項目に統合したことにより,管理策の数は114から93に減少しています。新規に追加される管理策としては、組織がクラウドサービスを利用する際のセキュリティ対策、脅威インテリジェンスの組込みなどがあります。
ISO/IEC 27001:2022との整合化
これまでのJIS Q 27001:2014から規格名称の前半部分が、「情報技術-セキュリティ技術」から「情報セキュリティ,サイバーセキュリティ及びプライバシー保護」に変更されていることに気がつかれたかと思います。これは、国際規格の担当委員会ISO/IEC JTC1/SC27の委員会名称に合わせた変更となります。
また、ISO/IEC 27001:2022では附属書Aの管理目的に関する記述が削除されたため、対応するJISにもこれを反映しています。
附属書SL改訂点の反映
ISOマネジメントシステム規格を作る上でベースとなる共通テキスト、附属書SL[ISO/IEC専門業務用指針 第1部 統合版ISO補足指針の附属書SL Appendix 2, MSS(マネジメントシステム規格)のための調和させる構造]の2021年の改訂内容を反映しています。
例えば、文書化した情報を「保持する」又は「維持する」という表現の「利用可能な状態にする」への置き換え(なおISMS固有のテキストについては「文書化した情報を保持する」という表現もある。)、 6.3(変更の計画策定)の追加などがあります。
書籍の購入・セミナー申込はこちら