この記事は、2022年に「ISO/IEC 27002」規格が改定され、また、それに伴い「ISO/IEC 27001」の改定がされていることに伴う、SecureNavi の対応方針や対応内容をお伝えするものです。
背景
まずは、「ISO/IEC 27002」規格の改定について正しく理解するために、その背景を共有します。
- 2022年2月に、「ISO/IEC 27002」が改定されました。
- ISMS認証制度における認証基準は「ISO/IEC 27001」であり「ISO/IEC 27002」ではありません。したがって、「ISO/IEC 27002」の改定により、直接的にISMS審査の基準が変わることはありません。
- しかし「ISO/IEC 27001」の一部は、「ISO/IEC 27002」の内容を取り入れ、作成されています。そのため、今回の「ISO/IEC 27002」規格の改定に伴い、ISMS認証基準の「ISO/IEC 27001」も改定の取り組みが始まりました。
- 現在はISMS-ACより、移行スケジュールが公表されています詳細は以下をご覧ください。
SecureNaviの対応方針
今回の改定による対応は、可能な限り、SecureNaviシステムが自動で対応します。
文書・リスクアセスメントなどの記録の見直し
-
ほとんど必要ありません。
各種文書の改訂(バージョンアップ)は必要です。
※文書の一覧に「改訂を推奨」が表示されるので、新規格での文書承認を実施ください。 - 新しい規格への対応は、そのほとんどをSecureNaviが自動で行います。今回の改定によって、管理策の再編が行われますが、従来の管理策から、新しい管理策へのマッピングは、SecureNaviが自動で実施します。
- 今までにない新しい管理策の追加がありますが、下記「新規格で追加された管理策」の例文を参考に追加いただくだけで、対応がすべて完了します。
適用宣言書の見直し
-
ほとんど必要ありません。
適用宣言書の改訂(バージョンアップ)は必要です。
※文書の一覧に「改訂を推奨」が表示されるので、新規格での文書承認を実施ください。 - 適用宣言書のフォーマットは、SecureNaviによって自動でアップデートされます。
- 新しい管理策については上述の通り、例文を参考に追加し、規格番号を紐づけていただく必要がありますのでご留意ください(詳細は後述)
質問があれば、いつでもSecureNavi画面右下のチャットサポートから、弊社のサポート担当者までお問い合わせいただけます。
新規格で追加された管理策
新規格では新たに11個の管理策が追加になっています。以下に管理策ごとのリスク対応例を記載しますのでご参考ください。
項番 | 説明 | 資産カテゴリ例 | リスク例 | リスク対応例 |
A.5.7 脅威インテリジェンス | 情報セキュリティの脅威に関連する情報を収集して分析して、脅威インテリジェンスを生成するものとします。 | 6.組織 | 社内規程が存在しない、もしくは古い状態が続いている | 情報セキュリティに関する最新情報を入手するために、以下の情報源を参照する。 (情報処理推進機構 https://www.ipa.go.jp/security 、個人情報保護委員会 http://www.ppc.go.jp)) |
A.5.23 クラウドサービスの利用に関するセキュリティ | クラウドサービスからの買収、使用、管理、および出口のプロセスは、組織の情報セキュリティ要件に従って確立されるものとします。 | 6.組織 | 委託先による情報漏えいやシステム停止 | クラウドサービスを新しく利用する場合は、別項で定める「委託先評価基準」に従い選定を行う。 |
3.ソフトウェア>2.クラウドサービス | データ保管国の法規制の影響を受けることによるデータの漏えいや滅失 | データが保管される国を明らかにし、その国固有の法令や規制に自社のデータが悪影響を受けないかを確認する。 | ||
3.ソフトウェア>2.クラウドサービス | 利用終了時のデータの滅失 | サービス利用終了時のデータのエクスポートが可能であるかを確認する。 | ||
A.5.30 事業継続のためのICTの備え | ICTの準備は、ビジネスの継続性目標とICT継続性要件に基づいて、計画、実装、維持、テストされます。 | 3.ソフトウェア>3.自社開発 | システムの冗長化が不十分なことによるサービス停止 | 定めた復旧計画が引き続き有効であることを確認するために、定期的に計画のテスト実施を行う。 |
A.7.4 物理的セキュリティの監視 | 施設は、不正な物理的アクセスについて継続的に監視されます。 | 5.拠点>1.オフィス | 不正侵入による情報漏えい | 入退室管理システムや電子錠を利用し、オフィスへの入退室ログを取得する。 |
5.拠点>1.オフィス | 不正侵入による情報漏えい | 高セキュリティが求められるエリアには、監視カメラを設置し、不正な侵入に対する継続的な監視を行う。 | ||
A.8.9 構成管理 | ハードウェア、ソフトウェア、サービス、ネットワークのセキュリティ構成を含む構成は、確立、文書化、実装、監視、およびレビューされなければなりません。 | 2.ハードウェア | 機器の把握や管理ができていない事によるデータの漏えいや滅失 | 機器管理台帳を作成し、社内で利用している機器と、その情報(インストールされているOSやソフトウェア、有効なセキュリティ設定など)を管理する。 |
2.ハードウェア | 機器の把握や管理ができていない事によるデータの漏えいや滅失 | 定期的(目安として6ヶ月に1回)に機器管理台帳を見直し、台帳の内容と実態にズレがないかを確認する。 | ||
A.8.10 情報の削除 | 情報システム、機器、その他の記憶媒体に保存された情報は、不要になった時点で削除する。 | 6.組織 | 保護すべき情報や、その責任の所在が不明瞭 | 機密情報に該当する情報は、SecureNaviの資産リストにおいて保管期間を明記し、保管期間を終えた資産は、速やかに削除を行う。 |
A.8.11 データマスキング | データマスキングは、適用される法律を考慮に入れて、アクセス制御およびその他の関連するトピック固有のポリシー、およびビジネス要件に関する組織のトピック固有のポリシーに従って使用するものとします。 | 3.ソフトウェア>3.自社開発 | システム開発における一般的な原則が実施できていない | システムのテストで用いるデータに、本番環境のデータを用いてはならない。やむを得ず利用する場合は、機密情報をマスキングした上で利用する。 |
3.ソフトウェア>3.自社開発 | 保護すべき情報や、その責任の所在が不明瞭 | 個人情報の利活用を行う場合は、個人情報保護法に基づき、仮名化もしくは匿名化を行う必要がないかを確認し、必要に応じて実施する。 | ||
A.8.12 情報漏えいの防止 | データリーク予防措置は、機密情報を処理、保存、または送信するシステム、ネットワーク、およびその他のデバイスに適用するものとします。 | 3.ソフトウェア>2.クラウドサービス | 誤った操作や悪意ある操作による情報漏えい | 外部にファイルを送信したり共有する機能がある場合は、その機能の操作ログの取得、あるいは利用禁止などの措置により、意図しない情報の外部漏えいを防止する。 |
A.8.16 監視 | ネットワーク、システム、およびアプリケーションは、潜在的な情報セキュリティインシデントを評価するために取られた異常な行動と適切なアクションについて監視するものとします。 | 3.ソフトウェア>3.自社開発 | 誤った操作によるシステムの停止 | 監視項目を定め、定期的に容量・能力の監視を行う。監視は、ツールなどを利用して自動化することもできるが、その場合はしきい値を定めたアラートを設定しておく。 |
A.8.23 Webフィルタリング | 外部のWebサイトへのアクセスは、悪意のあるコンテンツへの露出を減らすために管理されなければなりません。 | 2.ハードウェア>2.ユーザ端末 | マルウェアなど外部からの攻撃による情報漏えい | 業務に関係のないWebサイトにはアクセスを行わない。 |
4.ネットワーク | マルウェアなど外部からの攻撃による情報漏えい | Webフィルタリングツールを導入し、危険なWebサイトへのアクセスを未然に防ぐ。 | ||
A.8.28 セキュアコーディング | 安全なコーディング原則は、ソフトウェア開発に適用されるものとします。 | 3.ソフトウェア>3.自社開発 | システム開発における一般的な原則が実施できていない | 利用しているプログラミング言語やフレームワークにおける、セキュリティのベストプラクティスやガイドラインを特定し、自らのシステム開発に確実に実装されるようにする。 |
リスク対応の追加方法は、こちらの中段をご覧ください。
切り替え方法
設定・参考情報 > 規格の設定にて、新旧規格の切り替えが可能です。
(本作業は、パワーユーザ権限が必要です)
切り替えを実施すると、社内ルールの画面と、規格との対応表が新規規格用に変わります。
規格との対応表には、6.3が新たに加わります。
管理策の項番体系が変わるため、適用宣言書と情報セキュリティマニュアルに「改訂を推奨」が表示されます。(旧規格に戻すと、「改訂を推奨」表示は消えます)
ご注意
SecureNavi_V1をご利用のお客様は、当機能をご利用いただく場合に弊社にて事前作業を実施する必要があります。詳細はISMS新規格適用伴うSecureNavi_V1からV2への移行 をご覧ください。
SecureNavi_V1:V2へ移行いただく必要あり
SecureNavi_V2:そのまま新規格への切り替えが可能