ISMS適合性評価制度の適用規格であるISO/IEC 27001:2013が改訂され、 2022年10月25日に ISO/IEC 27001:2022 として発行されました。(翌年、2023年9月20日にJIS Q 27001:2023が発行)
ISMSクラウドセキュリティ認証は、その基となるISMS認証がJIS Q 27001:2023(ISO/IEC 27001:2022)へと変更されたため、ISMSクラウドセキュリティ認証を取得している組織は、基となるISMS認証をJIS Q 27001:2023(ISO/IEC 27001:2022)に対応させる必要があります。
※ISMS-ACからの案内はこちらをご参照ください。
現在、SecureNavi上のISMSクラウドセキュリティ管理策の名称は、ISO/IEC 27001:2022附属書A(日本語訳版)をベースとしておりました。
この度、変更処理を行います。
変更後は「JIS Q 27001:2023附属書A」の表記に揃える形となります。
※JIS Q 27017:2016 附属書Aクラウドサービス拡張管理策の変更はありません。
SecureNavi画面において、以下の表示が変更になります。
- 適用宣言書(ISMSクラウドセキュリティ) ※「改訂を推奨」が表示されます
- ベースライン分析(CSP・CSC)
あくまで名称表示の変更となるため、お客様の登録データに影響はありません。
新旧比較は以下の通りです。(青文字が変更箇所)
CSP
| 管理策番号 | 変更前 | 変更後 |
|---|---|---|
| 5.1 | 情報セキュリティのための方針群 | 情報セキュリティのための方針群 |
| 5.2 | 情報セキュリティの役割及び責任 | 情報セキュリティの役割及び責任 |
| 5.5 | 関係当局との連絡 | 関係当局との連絡 |
| 5.8 | プロジェクトマネジメントにおける情報セキュリティ | プロジェクトマネジメントにおける情報セキュリティ |
| 5.9 | 情報やその他の関連資産の許容可能な使用 | 情報及びその他の関連資産の目録 |
| 5.13 | 情報のラベル付け | 情報のラベル付け |
| 5.16 | アイデンティティ管理 | 識別情報の管理 |
| 5.17 | 認証情報 | 認証情報 |
| 5.18 | アクセス権 | アクセス権 |
| 5.20 | 供給者との合意におけるセキュリティの取り扱い | 供給者との合意における情報セキュリティの取扱い |
|
5.21 |
ICTサプライチェーンにおける情報セキュリティの管理 | 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 |
| 5.24 | 情報セキュリティインシデント管理計画と準備 | 情報セキュリティインシデント管理の計画策定及び準備 |
| 5.28 | 証拠の収集 | 証拠の収集 |
| 5.31 | 法律、法令、規制及び契約上の要求事項 | 法令、規制及び契約上の要求事項 |
| 5.32 | 知的財産権 | 知的財産権 |
| 5.33 | 記録の保護 | 記録の保護 |
| 5.35 | 情報セキュリティの独立したレビュー | 情報セキュリティの独立したレビュー |
| 6.3 | 情報セキュリティの意識向上、教育及び訓練 | 情報セキュリティの意識向上、教育及び訓練 |
| 6.8 | 情報セキュリティ事象の報告 | 情報セキュリティ事象の報告 |
| 7.14 | 装置のセキュリティを保った処分又は再利用 | 装置のセキュリティを保った処分又は再利用 |
| 8.2 | 特権アクセス権 | 特権的アクセス権 |
| 8.3 | 情報へのアクセス制限 | 情報へのアクセス制限 |
| 8.6 | 容量・能力の管理 | 容量・能力の管理 |
| 8.8 | 技術的ぜい弱性の管理 | 技術的ぜい弱性の管理 |
| 8.13 | 情報のバックアップ | 情報のバックアップ |
| 8.15 | ログ取得 | ログ取得 |
| 8.17 | クロックの同期 | クロックの同期 |
| 8.18 | 特権的なユーティリティプログラムの使用 | 特権的なユーティリティプログラムの使用 |
| 8.22 | ネットワークの分離 | ネットワークの分離 |
| 8.24 | 暗号の使用 | 暗号の利用 |
| 8.25 | セキュリティに配慮した開発のライフサイクル | セキュリティに配慮した開発のライフサイクル |
| 8.32 | 変更管理 | 変更管理 |
CSC
| 管理策番号 | 変更前 | 変更後 |
|---|---|---|
| 5.1 | 情報セキュリティのための方針群 | 情報セキュリティのための方針群 |
| 5.2 | 情報セキュリティの役割及び責任 | 情報セキュリティの役割及び責任 |
| 5.5 | 関係当局との連絡 | 関係当局との連絡 |
| 5.8 | プロジェクトマネジメントにおける情報セキュリティ | プロジェクトマネジメントにおける情報セキュリティ |
| 5.9 | 情報やその他の関連資産の許容可能な使用 | 情報及びその他の関連資産の目録 |
| 5.13 | 情報のラベル付け | 情報のラベル付け |
| 5.15 | アクセス制御 | アクセス制御 |
| 5.17 | 認証情報 | 認証情報 |
| 5.19 | 供給者関係における情報セキュリティ | 供給者関係における情報セキュリティ |
| 5.20 | 供給者との合意におけるセキュリティの取り扱い | 供給者との合意における情報セキュリティの取扱い |
| 5.24 | 情報セキュリティインシデント管理計画と準備 | 情報セキュリティインシデント管理の計画策定及び準備 |
| 5.28 | 証拠の収集 | 証拠の収集 |
| 5.31 | 法律、法令、規制及び契約上の要求事項 | 法令、規制及び契約上の要求事項 |
| 5.32 | 知的財産権 | 知的財産権 |
| 5.33 | 記録の保護 | 記録の保護 |
| 5.35 | 情報セキュリティの独立したレビュー | 情報セキュリティの独立したレビュー |
| 6.3 | 情報セキュリティの意識向上、教育及び訓練 | 情報セキュリティの意識向上、教育及び訓練 |
| 6.8 | 情報セキュリティ事象の報告 | 情報セキュリティ事象の報告 |
| 7.14 | 装置のセキュリティを保った処分又は再利用 | 装置のセキュリティを保った処分又は再利用 |
| 8.2 | 特権アクセス権 | 特権的アクセス権 |
| 8.3 | 情報へのアクセス制限 | 情報へのアクセス制限 |
| 8.6 | 容量・能力の管理 | 容量・能力の管理 |
| 8.8 | 技術的ぜい弱性の管理 | 技術的ぜい弱性の管理 |
| 8.13 | 情報のバックアップ | 情報のバックアップ |
| 8.15 | ログ取得 | ログ取得 |
| 8.17 | クロックの同期 | クロックの同期 |
| 8.18 | 特権的なユーティリティプログラムの使用 | 特権的なユーティリティプログラムの使用 |
| 8.22 | ネットワークの分離 | ネットワークの分離 |
| 8.24 | 暗号の使用 | 暗号の利用 |
| 8.25 | セキュリティに配慮した開発のライフサイクル | セキュリティに配慮した開発のライフサイクル |
| 8.32 | 変更管理 | 変更管理 |