2024年6月20日、ISO/IEC 27002:2022に対応したJIS Q 27002:2024(情報セキュリティ管理策)が発行されました。
JIS改正の主なポイント
情報セキュリティマネジメントシステム(ISMS)では、情報セキュリティ管理策(「マルウェア対策」や「データのバックアップの取得や管理」「アクセス制限」などの対策)を決定し、実施することが求められています。
昨今、多様化する脅威に対するサイバーセキュリティ対策、クラウドサービスの利用、リモートワークの普及などの情報セキュリティを取り巻く技術や環境は変化しており、これを背景として、2022 年2 月に情報セキュリティ管理策を規定する ISO/IEC 27002 が改訂されました。今回のJIS改正は、これに対応するものです。
JIS Q 27002 は、情報セキュリティ管理策群を、実施の手引や関連情報を含めて規定したものです。
今回改正されたJIS Q 27002が規定する情報セキュリティ管理策は、JIS Q 27001 の附属書A で定める管理策と対応しており、これらの管理策に対する実施の手引として使用することができます。
また、組織が、国際的に認められている最適な慣行に基づいて情報セキュリティ管理策を実施したり、組織固有の情報セキュリティマネジメントの指針を作成するために使用することもできます。
① 情報セキュリティ管理策の追加・統合
JIS Q 27002 で規定されている情報セキュリティ管理策が、新たな脅威、技術動向などを踏まえて改正されました。
改正により、管理策の数は、新規追加や既存の更新・統合によって、改正前の114 からの93 に変更となり、管理策の分類は、14 分類から、4分類(組織的管理策及び人的管理策、物理的管理策、技術的管理策)に再整理されました。
本規格と旧規格との管理策の対応表が、附属書B に示されています。
② 様々な管理策体系の見方への対応
組織が、本規格で定める管理策群を整理して把握する見方は様々であることから、規格の箇条構造とは異なる観点でも管理策体系の見方を構築できるよう、管理策の属性と属性値の概念が導入されました。
管理策ごとに表で示された、五つの属性(管理策タイプ,情報セキュリティ特性,サイバーセキュリティ概念,運用機能,セキュリティドメイン)の属性値を用いて、管理策を様々な見方でフィルタリングしたり、並べ替えたり、提示することができるようになっています。
附属書A は、組織が自らの管理策体系の見方を構築するための、管理策の属性の使用方法や例が提供されています。
出典
○経済産業省 > 日本産業規格(JIS)を制定・改正しました(2024年6月分)
○日本規格協会 Webdesk
