★☆★JNSAメールマガジン 第273号 2023.10.13☆★☆
2023/10/13 (Fri) 15:30
★☆★JNSAメールマガジン 第273号 2023.10.13☆★☆
こんにちは
JNSAメールマガジン 第273号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
標準化部会 日本ISMSユーザグループ WGリーダー 魚脇 雅晴様に
ご寄稿いただきました。
【連載リレーコラム】
ISO/IEC27001:2022の移行対応について
標準化部会 日本ISMSユーザグループ WGリーダー 魚脇 雅晴
インプリメンテーション研究会 主査
(エヌ・ティ・ティ・コミュニケーションズ株式会社)
標準化部会/日本ISMSユーザグループの魚脇です。
日本ISMSユーザグループでは標準化に関する動向の情報発信やISMSをビジネス
の世界にどう実装していけばよいかベストプラクティスの研究&検討を行って
います。
本日は昨年の10月に改正されたISMS適合評価制度の適用規格であるISO/IEC27001
:2022への移行対応について情報発信させて頂きます。
標準化についての流れですが一度作ったら終わりではなく時代の変化に合わせ
て見直しが定期的に実施されます。ISMSでいうと、2004年、2013年、2022年と
いう流れで見直しがされてきました。
<付属書Aの元になったISO/IEC 27002:2022の変更点の主な内容>
今回の見直しの流れとしては昨年の2022年6月に ISO/IEC 27002:2022 が改訂
&出版され、その管理策を ISO/IEC 27001 附属書A に取り込んだものとなって
います。(本文は大きな変更はありません)
・基本的にはISO/IEC27002:2013を踏襲
(ISO/IEC27002:2013の管理策をすべて移行:114の管理策を82に集約、
手引きについては、新しい脅威や技術動向に合わせて改定)
・新しい脅威や技術動向に合わせて新規の管理策を追加(11個)
・各管理策を様々な観点で見ることが出来るように属性(Attribute)を設定
・中分類としての管理目的(Objective.)を廃止し、個々の管理策毎に目的
(Purpose)を設定
<移行審査の期限>
規格が改正された場合には一定の期間内で新規格による認証審査を受ける必要
があります。(移行審査の期限の条件については以下を参照願います)
・新規格への移行審査(認証取得済み組織)
移行期間:2022年10月31日?2025年10月31日
・2024年4月30日から2025年10月31日までに再認証審査の期日が来ない場合は、
旧規格による維持審査を受審しながら2025年10月31日までに移行審査を受ける
ことが可能
・2024年4月30日を過ぎて行われる次の審査が再認証審査の場合、旧規格での
再認証審査を2024年4月30日までに開始するか、新規格による再認証審査を
受審することが必要
参考:認証取得後の継続審査/再認証審査の流れ
新規(認証取得)→1年目(維持審査)→2年目(維持審査)→3年目(再認証審査)
一方、現在のISMSの認証登録数(組織数)は7,000件を超えています。
このすべての組織が例外なく、新規格による移行が必要となります。
<移行審査までの主な実施項目>
移行審査までの主な作業の流れは新規格の内容を理解し自組織のルールと
して取り込みを行い、そのルールに基づき運用実績をつむ、内部監査を実施
して指摘された改善事項を反映して外部審査を受審するという流れになります。
(詳細は以下を参照願います)
・新規格について理解を深める(全体像&各管理策)
新規格の背景や主な変更点、必要な実施事項などを確認し、新旧マッピング表を
もとに新規程と自社の既存の規程とを比較して現状の対応状況を確認する
(ISO/IEC 27001の附属書Aのみでは、管理策が要求する具体的内容を理解する
ことは困難なのでISO/IEC 27002:2022もしくはISO/IEC 27002:2022の手引き
のレベルで解説された規格解説書を購入し管理策の具体的な実施内容を確認する)
(特に新規に追加された11の管理策について、要求事項の概要・目的・
背景・具体的な対応内容について確認する)
・新管理策に関連する脅威に対するリスクアセスメントを行い現行リスク対応
と新管理策の要求事項とのギャップがあればそのギャップへの対応を実施する。
・ISMS文書の改訂&制定
11の新規管理策や見直された管理策について自社への適用を検討し、ルール化
する。併せて適合宣言書をアップデートする。
・改訂されたISMSについての教育&訓練の実施
・新規格に対応したISMSの運用を行う(一定期間の運用実績)
・内部監査&改善対応
・改訂されたISMSの内容によるマネジメントレジュー
・移行審査の受審
<日本特有の問題:日本語化対応>
日本国内の組織は通常、ISO/IEC27001ではなくJIS Q 27001を参照することと
なります。しかしながらJIS Q 27001:2023は、ISO/IEC27001:2022から11ヶ月
経過した後に発行されており、その経過時間分だけ他国よりも準備期間が短い
ことが不利となっています。
標準化部会/日本ISMSユーザグループでは今年の研究テーマを決定する時に
メンバーから認証組織の多くが直面する問題なので新規格への移行対応を
テーマにすべきだと多くの意見が出ました。その結果、新規格の移行に関わる
作業の支援となる事を目指し、出来るだけ新規格の移行に関わる作業が軽減
出来るように新しい脅威や技術動向に合わせて追加された新規の管理策
(11個)についてインプリメンテーション研究会にて今年度のテーマとして
設定し、どのように読み解いて実装すれば良いかメンバー内でディスカッショ
ンを実施しています。
検討結果については毎年実施している情報セキュリティマネジメントセミナー
にて情報発信(発表)する予定にしています。移行を控えて準備されている
認証取得の組織の方への有益な情報になるように毎月の研究会で喧々諤諤と
討議しています。また、それ以外のテーマとしては内部監査に関するものや
標準化動向についても発表テーマとして考えています。
12月の情報セキュリティマネジメントセミナーまでにはもう少し時間がある
ので、メンバーで活発なディスカッションを経て、完成度の高い成果物を提供
するように頑張ります。
12月のセミナーでお会いできるのを楽しみにしています。
参考情報(クラウドセキュリティ認証関連情報)
※ISMSの認証取得組織だけでなく、ISO/IEC 27017:2015のISMSクラウドセキュ
リティ認証取得組織も適用宣言について、27017は27002の拡張規格ですが、
まだ新規格への対応はできていません(今の予定では早くて2025年秋ごろ)
ISMSの認証部分は新規格で27017部分は旧規格による適用宣言の対応を示す
必要があります。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/2xhu3v7t
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★「みんなの「サイバーセキュリティコミック」ファイナルシーズン」
JNSA X(旧Twitter)で毎週金曜日最新話公開!
https://twitter.com/jnsa
【事務局からのお知らせ】
★「JNSA はASEAN8カ国のサイバーセキュリティ業界団体等とのMoU に署名
~「日ASEAN サイバーセキュリティ官民共同フォーラム」にて~」を、
プレスリリースいたしました。
https://prtimes.jp/main/html/rd/p/000000011.000079668.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第273号
発信日:2023年10月13日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第273号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
標準化部会 日本ISMSユーザグループ WGリーダー 魚脇 雅晴様に
ご寄稿いただきました。
【連載リレーコラム】
ISO/IEC27001:2022の移行対応について
標準化部会 日本ISMSユーザグループ WGリーダー 魚脇 雅晴
インプリメンテーション研究会 主査
(エヌ・ティ・ティ・コミュニケーションズ株式会社)
標準化部会/日本ISMSユーザグループの魚脇です。
日本ISMSユーザグループでは標準化に関する動向の情報発信やISMSをビジネス
の世界にどう実装していけばよいかベストプラクティスの研究&検討を行って
います。
本日は昨年の10月に改正されたISMS適合評価制度の適用規格であるISO/IEC27001
:2022への移行対応について情報発信させて頂きます。
標準化についての流れですが一度作ったら終わりではなく時代の変化に合わせ
て見直しが定期的に実施されます。ISMSでいうと、2004年、2013年、2022年と
いう流れで見直しがされてきました。
<付属書Aの元になったISO/IEC 27002:2022の変更点の主な内容>
今回の見直しの流れとしては昨年の2022年6月に ISO/IEC 27002:2022 が改訂
&出版され、その管理策を ISO/IEC 27001 附属書A に取り込んだものとなって
います。(本文は大きな変更はありません)
・基本的にはISO/IEC27002:2013を踏襲
(ISO/IEC27002:2013の管理策をすべて移行:114の管理策を82に集約、
手引きについては、新しい脅威や技術動向に合わせて改定)
・新しい脅威や技術動向に合わせて新規の管理策を追加(11個)
・各管理策を様々な観点で見ることが出来るように属性(Attribute)を設定
・中分類としての管理目的(Objective.)を廃止し、個々の管理策毎に目的
(Purpose)を設定
<移行審査の期限>
規格が改正された場合には一定の期間内で新規格による認証審査を受ける必要
があります。(移行審査の期限の条件については以下を参照願います)
・新規格への移行審査(認証取得済み組織)
移行期間:2022年10月31日?2025年10月31日
・2024年4月30日から2025年10月31日までに再認証審査の期日が来ない場合は、
旧規格による維持審査を受審しながら2025年10月31日までに移行審査を受ける
ことが可能
・2024年4月30日を過ぎて行われる次の審査が再認証審査の場合、旧規格での
再認証審査を2024年4月30日までに開始するか、新規格による再認証審査を
受審することが必要
参考:認証取得後の継続審査/再認証審査の流れ
新規(認証取得)→1年目(維持審査)→2年目(維持審査)→3年目(再認証審査)
一方、現在のISMSの認証登録数(組織数)は7,000件を超えています。
このすべての組織が例外なく、新規格による移行が必要となります。
<移行審査までの主な実施項目>
移行審査までの主な作業の流れは新規格の内容を理解し自組織のルールと
して取り込みを行い、そのルールに基づき運用実績をつむ、内部監査を実施
して指摘された改善事項を反映して外部審査を受審するという流れになります。
(詳細は以下を参照願います)
・新規格について理解を深める(全体像&各管理策)
新規格の背景や主な変更点、必要な実施事項などを確認し、新旧マッピング表を
もとに新規程と自社の既存の規程とを比較して現状の対応状況を確認する
(ISO/IEC 27001の附属書Aのみでは、管理策が要求する具体的内容を理解する
ことは困難なのでISO/IEC 27002:2022もしくはISO/IEC 27002:2022の手引き
のレベルで解説された規格解説書を購入し管理策の具体的な実施内容を確認する)
(特に新規に追加された11の管理策について、要求事項の概要・目的・
背景・具体的な対応内容について確認する)
・新管理策に関連する脅威に対するリスクアセスメントを行い現行リスク対応
と新管理策の要求事項とのギャップがあればそのギャップへの対応を実施する。
・ISMS文書の改訂&制定
11の新規管理策や見直された管理策について自社への適用を検討し、ルール化
する。併せて適合宣言書をアップデートする。
・改訂されたISMSについての教育&訓練の実施
・新規格に対応したISMSの運用を行う(一定期間の運用実績)
・内部監査&改善対応
・改訂されたISMSの内容によるマネジメントレジュー
・移行審査の受審
<日本特有の問題:日本語化対応>
日本国内の組織は通常、ISO/IEC27001ではなくJIS Q 27001を参照することと
なります。しかしながらJIS Q 27001:2023は、ISO/IEC27001:2022から11ヶ月
経過した後に発行されており、その経過時間分だけ他国よりも準備期間が短い
ことが不利となっています。
標準化部会/日本ISMSユーザグループでは今年の研究テーマを決定する時に
メンバーから認証組織の多くが直面する問題なので新規格への移行対応を
テーマにすべきだと多くの意見が出ました。その結果、新規格の移行に関わる
作業の支援となる事を目指し、出来るだけ新規格の移行に関わる作業が軽減
出来るように新しい脅威や技術動向に合わせて追加された新規の管理策
(11個)についてインプリメンテーション研究会にて今年度のテーマとして
設定し、どのように読み解いて実装すれば良いかメンバー内でディスカッショ
ンを実施しています。
検討結果については毎年実施している情報セキュリティマネジメントセミナー
にて情報発信(発表)する予定にしています。移行を控えて準備されている
認証取得の組織の方への有益な情報になるように毎月の研究会で喧々諤諤と
討議しています。また、それ以外のテーマとしては内部監査に関するものや
標準化動向についても発表テーマとして考えています。
12月の情報セキュリティマネジメントセミナーまでにはもう少し時間がある
ので、メンバーで活発なディスカッションを経て、完成度の高い成果物を提供
するように頑張ります。
12月のセミナーでお会いできるのを楽しみにしています。
参考情報(クラウドセキュリティ認証関連情報)
※ISMSの認証取得組織だけでなく、ISO/IEC 27017:2015のISMSクラウドセキュ
リティ認証取得組織も適用宣言について、27017は27002の拡張規格ですが、
まだ新規格への対応はできていません(今の予定では早くて2025年秋ごろ)
ISMSの認証部分は新規格で27017部分は旧規格による適用宣言の対応を示す
必要があります。
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/2xhu3v7t
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★「みんなの「サイバーセキュリティコミック」ファイナルシーズン」
JNSA X(旧Twitter)で毎週金曜日最新話公開!
https://twitter.com/jnsa
【事務局からのお知らせ】
★「JNSA はASEAN8カ国のサイバーセキュリティ業界団体等とのMoU に署名
~「日ASEAN サイバーセキュリティ官民共同フォーラム」にて~」を、
プレスリリースいたしました。
https://prtimes.jp/main/html/rd/p/000000011.000079668.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第273号
発信日:2023年10月13日
発 行:JNSA事務局 sec@jnsa.org
*************************************