2022年2月、ISO(International Organization for Standardization:国際標準化機構)からISO/IEC 27002:2022が発表されました。
ISO/IEC 27002は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格であるISO/IEC 27001の要求事項について、より具体的な管理策を示した規格です。
本記事ではISO/IEC 27002について、ISO/IEC 27001との関連性などと合わせて紹介していきます。
ISO/IEC 27002とは
ISO/IEC 27002は情報セキュリティマネジメントの実践に関する国際規格です。後で紹介するISO/IEC 27001の附属書A(管理策)と整合がとられています。
ISO/IEC 27002:2022について
2013年版から9年を経た2022年2月、ISO/IEC 27002:2022は「Information security, cybersecurity and privacy protection – Information security controls(情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理)」として発行されました。
なお、ISO/IEC 27002:2013では「Information technology – Security techniques – Code of practice for information security controls(情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範)」というタイトルになっていました。今回の改定で、サイバーセキュリティやプライバシー保護に関するアップデートが行なわれことが伺えます。
参考:一般財団法人日本情報経済社会推進協会「ISO/IEC 27000 ファミリー規格について」
出典:ISO (International Organization for Standardization)「ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection – Information security controls」
出典:ISO (International Organization for Standardization)「ISO/IEC 27002:2013 Information technology – Security techniques – Code of practice for information security controls」
ISO/IEC 27002:2013からの主な変更点
新しいISO/IEC 27002:2022では、サイバーセキュリティ脅威やセキュリティ技術の進化に合せて、11個の情報セキュリティ管理策が追加されました。
5.7 Threat Intelligence 脅威インテリジェンス
5.23 Information security for use of cloud services クラウドサービス利用時の情報セキュリティ
5.30 ICT readiness for business continuity 事業継続のためのICT準備
7.4 Physical security monitoring 物理的なセキュリティ監視
8.9 Configuration management 構成管理
8.10 Information deletion 情報の削除
8.11 Data masking データマスキング
8.12 Data leakage prevention データ漏洩防止
8.16 Monitoring activities 監視活動
8.23 Web filtering Webフィルタリング
8.28 Secure coding セキュアコーディング
出典:IRCAジャパン「(パート 1) ISO/IEC 27001:2022 変更点は? 情報セキュリティと管理策の重要性」
むやみにデータを保持しない運用やデータ漏洩防止対策、監視対応などが追加されています。
また、管理策の項目は以下の4章にまとめられています。
・Organizational controls:組織的管理策(37項目)
・People controls:人的管理策(8項目)
・Physical controls:物理的管理策(14項目)
・Technological controls:技術的管理策(34項目)
情報セキュリティリスクに関する最新の動向を踏まえて再構成され、ISO/IEC 27002:2013で114項目だったところから、ISO/IEC 27002:2022では93項目になりました。
ISO/IEC 27001との関連性
ISO/IEC 27000ファミリー規格の中でも、ISO/IEC 27001とISO/IEC 27002にはより強い関連性があります。
ISO/IEC 27001は本文(要求事項)と附属書A(管理策)で構成され、附属書Aに記載されている管理策を理解するには、詳細な具体例を示すISO/IEC 27002が有効です。そのため、ISO/IEC 27002は「ISO/IEC 27001のガイダンス規格」や「附属書Aのベストプラクティスを集めたガイドライン」とも言われています。
2022年2月のISO/IEC 27002の改定の際は、その内容と整合性を保つべく、追いかける形で2022年10月にISO/IEC 27001も改定されました。
参考:一般財団法人日本情報経済社会推進協会「【コラム】ISMS認証基準(ISO/IEC 27001)の改訂」
ISO/IEC 27001とISMSについて
ISO/IEC 27001は、ISMSの要求事項を定めた国際規格です。組織が自社の情報資産に対して、機密性(Confidentiality)、完全性(Integrity)、可用性(Availability)をバランスよく実現するための要求事項を示しています。
ISMSは、Information Security Management Systemの頭文字をとったもので、情報セキュリティマネジメントシステムのことです。
ISO/IEC 27001は要求事項をまとめた「規格」で、ISMSは必要なセキュリティレベルに応じてプランを持ち、資源を配分して、システムを運用するための「仕組み」です。第三者認証登録機関が組織のISMS適合性を評価する基準としてISO/IEC 27001が使用されます。
ISO/IEC 27001とISO/IEC 27002の違い
ISO/IEC 27001とISO/IEC 27002はどちらも情報セキュリティリスクに関する規格であるため、混同されるケースがあるかもしれません。一般財団法人日本情報経済社会推進協会の資料によると、下記のように記されています。異なるポイントを理解しておきましょう。
ISO/IEC 27001:組織の事業リスク全般を考慮して、文書化したISMSを確立、実施、維持及び継続的に改善するための要求事項を規定した規格。
ISO/IEC 27002: 組織の情報セキュリティリスクの環境を考慮に入れた管理策の選定、実施及び管理を含む、組織の情報セキュリティ標準及び情報セキュリティマネジメントを実施するためのベストプラクティスをまとめた規格。ISO/IEC 27001 の「附属書A 管理目的及び管理策」と整合がとられている。
引用:一般財団法人日本情報経済社会推進協会「ISO/IEC 27000 ファミリー規格について」
まとめ
今回の記事では、ISO/IEC 27002について紹介しました。
デジタル化が進む昨今、インターネット上の情報などが脅威に晒される機会も増えています。そのような脅威への対応として、セキュリティ対策は必須であり、マネジメントシステム規格に関する知識も今後ますます求められるでしょう。
弊社イー・フォースでは、セキュリティ対策関連の情報も発信しています。
記事コンテンツ「セキュア通信をコンパクトに実現する方法」では、セミナーの内容を複数回に分けて紹介し、サイバーセキュリティの現状や組込みデバイスのセキュリティ対策の現状などをお伝えしています。
ぜひ情報収集などにお役立てください。