#27002:合理化された構造、新しい内容、現代的な索引を持つ規格のさわやかな改訂版です。2022年第4四半期に予定されているISO/IEC 27001の改訂の前触れとして、ISO/IEC 27002の更新が2022年第1四半期にリリースされました。新しいISO 27002:2022で何が変わったのか、そしてこれがISO 27001:2022の改訂の面で何を意味するのか、ここでお読みください。
Loading...
ISO 27002およびISO 27001
ISO 27002は、企業がISO 27001の附属書Aからの要求事項を実施する際にサポートすべき一般的なセキュリティ対策の幅広いカタログを定義しており、多くのITおよびセキュリティ部門において、認識されたツールとして実用的な標準ガイドとしての地位を確立しています。2022年の初めに、ISO 27002は包括的に改訂され、更新されました。近年のITのダイナミックな発展と、規格が5年ごとに最新のものに見直されることを考慮すると、多くの専門家の意見では、この措置は遅きに失しています。
ISO 27001の認証を取得している企業、または近い将来に認証取得を目指す企業にとって、今回導入された技術革新は2つの点で関連があります。第一に、自社のセキュリティ対策に必要な更新に関して、第二に、これらの変更は、年末に予定されているISO 27001の更新に影響を与えるからです。 ISO 27001この変更は、年末に予定されている認証の更新に影響し、今後のすべての認証および再認証に関連するものである。したがって、新しいISO 27002を詳しく見るには十分な理由となります。
注)ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection - Information security controls.この規格は現在英語版のみ発行されており、ISOのウェブサイトから 注文することができます。
新しい構成と新しいトピック
ISO 27002:2022の最初の明らかな変更点は、規格の構造が更新され、大幅に合理化されたことです。従来の14セクション114セキュリティ対策(コントロール)に代わり、更新版ISO 27002の参照セットは現在93コントロールからなり、これらは明確に細分化されて4主題領域に要約されています。
- 組織的管理」セクションのセキュリティ対策37項目
- 人的管理 "分野のセキュリティ対策8件
- 物理的管理(Physical controls)」領域における14のセキュリティ対策
- "技術的な管理 "の分野のセキュリティ対策34件
セキュリティ対策の数は減ったものの、実際に削除されたのは「資産の除去」というコントロールのみ。このスリム化は、既存のコントロールの中から24のセキュリティ対策を組み合わせ、より焦点を絞った形で保護目的に合致するように再構築したことによるものです。さらに58のセキュリティ対策は、現代の要件に合うように改訂され、適応された。
ISO 27002の新版は、情報セキュリティ管理者に、ISO 27001の新版で新しい認証基準となる変更点についての正確な見通しを与えてくれます。
新しいセキュリティ対策
さらに、おそらく今回の更新で最もエキサイティングなのは、ISO 27002の新バージョンで11のセキュリティ対策が追加されたことです。これらの対策は、セキュリティの専門家にとって驚くようなものではありませんが、これらを組み合わせることで、現在および将来の脅威シナリオに対して、企業が組織構造やセキュリティアーキテクチャをタイムリーに強化できるよう、強いシグナルを送ることができるのです。
新しい対策は
脅威のインテリジェンス
最新の脅威インテリジェンスを収集、統合、分析することで、企業はますますダイナミックに進化する脅威環境の中で、常に最新の情報を入手することができます。今後は、攻撃情報をエビデンスに基づいて分析し、最適な防御戦略を策定することが、情報セキュリティにおいて重要な役割を果たすことになります。
クラウドサービス利用時の情報セキュリティ
今日、多くの組織がクラウドベースサービスに依存しています。これに伴い、新たな攻撃ベクトルやそれに伴う変化が生じ、攻撃対象が著しく拡大しています。今後、企業は、その導入、利用、管理について適切な保護対策を検討し、クラウドサービスプロバイダーとの契約ルールに拘束力を持たせることが必要です。
事業継続のためのICTレディネス
企業の事業継続には、ICT(情報通信技術)とその基盤の可用性が不可欠です。レジリエントな組織の基礎となるのは、計画された事業継続目標と、そこから導き出され、実施・検証されたICT継続要件である。障害発生後、ICTをタイムリーに技術的に復旧させるための要件は、実行可能な事業継続の概念を確立する。
物理的なセキュリティ監視
機密データやデータキャリアが会社から盗まれたり、危険にさらされたりする侵入事件は、企業にとって大きなリスクとなります。これまで、侵入者を阻止したり、侵入を即座に検知するために、技術的な制御や監視システムが有効であることが証明されてきた。今後は、不正な物理的アクセスを検知・抑止するための全体的なセキュリティコンセプトの標準的な構成要素になると思われる。
コンフィギュレーション管理
不正に設定されたシステムは、攻撃者に悪用され、重要なリソースにアクセスされる可能性があります。以前は、変更管理のサブセットとして十分に説明されていませんでしたが、現在では、体系的な構成管理は、それ自体がセキュリティ対策の1つとして注目されています。これは、組織がハードウェア、ソフトウェア、サービス、およびネットワークの適切な設定を監視し、システムを適切に強化することを要求しています。
情報の削除
一般データ保護規則が施行されて以来、組織は、要求に応じて個人データを削除し、必要以上の期間保持しないようにするための適切なメカニズムを備えていなければならない。この要件は、ISO 27002ではすべての情報に拡張されています。機密性の高い情報は、不要な開示のリスクを回避するために、必要以上に長く保持すべきではありません。
Loading...
ISO27001のためのDQS審査ガイド
貴重なノウハウを手に入れよう!
当社の審査ガイド「 ISO 27001- Annex A」は、第一線の専門家が実践的な実施支援として作成したもので、選択した規格要求事項をよりよく理解するために最適なものです。本ガイドラインは、2022年10月25日に発行されたISO 27001の改訂版には対応していません。
データマスキング
このセキュリティ対策の目的は、マスキング、仮名化、匿名化によって機密性の高いデータやデータ要素(個人データなど)を保護することです。これらの技術的措置を適切に実施するための枠組みは、法律、法令、規制、契約上の要件によって提供されます。
データ漏えいの防止
システム、ネットワーク、その他のデバイスから機密データが不正に開示・抽出されるリスクを軽減するために、予防的なセキュリティ対策が必要である。この特定された機密情報が無秩序に漏洩する可能性のある経路(電子メール、ファイル転送、モバイルデバイス、ポータブルストレージデバイスなど)を監視し、必要に応じて積極的な防止策(電子メールの検疫など)で技術的にサポートする必要があります。
監視活動
ネットワーク、システム、アプリケーションの異常を監視するシステムは、今やIT部門の標準的なレパートリーの一つとなっている。同様に、攻撃検知のためのシステムの使用は、現在の法律や規制の要件に含まれています。継続的な監視、継続的なIT運用から適切なパラメータや特性を自動収集・評価することは、プロアクティブなサイバー防衛において必須であり、この分野の技術を牽引し続けるだろう。
ウェブフィルタリング
信頼できないWebサイトの中には、閲覧者をマルウェアに感染させたり、個人情報を読み取ったりするものが多く存在する。高度なURLフィルタリングにより、危険性のあるWebサイトを自動的にフィルタリングし、エンドユーザーを保護することができる。外部サイトの悪意あるコンテンツから守るためのセキュリティ対策やソリューションは、グローバルにつながるビジネスの世界では欠かせない。
セキュアコーディング
自社開発コードやオープンソースコンポーネントの脆弱性は、サイバー犯罪者が重要なデータやシステムに容易にアクセスすることを可能にする危険な攻撃ポイントである。最新のソフトウェア開発ガイドライン、自動テスト手順、コード変更のためのリリース手順、開発者のためのナレッジマネジメント、そしてよく考えられたパッチとアップデート戦略が、保護レベルを大幅に向上させます。
属性と属性値
ISO 27002:2022では、セキュリティ管理者が幅広い対策の組み合わせに対応できるように、もう1つの革新的な機能が初めて導入されました。規格の附属書Aでは、各コントロールについて、5つの属性とそれに関連する属性値が保存されています。
属性と属性値は次のとおりです。
コントロールの種類
- コントロールの種類は、コントロールが情報セキュリティインシデントの発生に関連するリスクをいつ、どのように変化させるかという観点からコントロールを見るための属性である。
- #プリベンティブ #ディテクティブ #コレクトティブ
情報セキュリティプロパティ
- 情報セキュリティ特性は、統制がどのような保護目標をサポートすることを意図しているかという観点から統制を見るために使用できる属性である。
- #機密性 #完全性 #可用性
サイバーセキュリティの概念
- サイバーセキュリティの概念は、ISO/IEC TS 27110に記載されているサイバーセキュリティのフレームワークに制御をマッピングする観点から制御を見ます。
- #識別 #保護 #検知 #対応 #復旧
運用能力
- 運用能力とは、統制を運用上の情報セキュリティ能力の観点から見るもので、統制の実践的なユーザー視点をサポートするものである。
- #アプリケーションセキュリティ #資産管理 #継続性 #データ保護 #ガバナンス #人的資源セキュリティ #アイデンティティとアクセス管理 #情報セキュリティイベント管理 #法務とコンプライアンス #物理セキュリティ #安全な構成 #セキュリティ保証 #サプライヤー関係セキュリティ #システム及びネットワークセキュリティ #脅威と脆弱性の管理
セキュリティドメイン
- セキュリティドメインは、4つの情報セキュリティドメインの観点から管理策を見るために使用できる属性である。
- #ガバナンスとエコシステム #保護 #防衛 #レジリエンス
ハッシュタグでマークされた属性値は、セキュリティ管理者が標準ガイドの幅広い対策カタログの中から自分の道を見つけやすくし、的を絞って検索・評価できるようにすることを目的としています。
ISO 27002の変更点。結論
ISO 27002の新版は、情報セキュリティ管理者に、ISO 27001の新版で新しい認証規格になる変更点についての正確な見通しを提供します。同時に、技術革新は管理可能なフレームワークの中に留まっています。対策のカタログの再編は、規格の透明性を高め、セキュリティアーキテクチャの複雑化と透明性の低下を考慮した正しい方向への一歩であることは間違いないでしょう。新たに盛り込まれた対策は、経験豊富なセキュリティ専門家にとっても驚きではなく、時代遅れのISO規格を大幅に近代化するものです。
Loading...
DQS品質を単純に活用する
当社の認証審査は、お客様に明瞭な情報を提供します。人、プロセス、システム、結果について、外部からの全体的で中立的な視点により、貴社のマネジメントシステムがいかに効果的であるか、どのように実施され、習得されたかが示されます。私たちにとって重要なことは、私たちの審査をテストとしてではなく、マネジメントシステムをより充実させるものとして認識していただくことです。
私たちの主張は、常に監査用チェックリストが終わるところから始まります。私たちは、特に「なぜ」という質問をします。それは、あなたがある実施方法を選択するに至った動機を理解したいからです。私たちは、改善の可能性に着目し、視点の変更を促します。こうすることで、マネジメントシステムを継続的に改善するための行動の選択肢を見出すことができるのです。
DQSのメールマガジン
メルマガを登録して、あなたのビジネスに役立つ最新情報を入手しましょう。
著者名
André Saeckel
Product manager at DQS for information security management. As a standards expert for the area of information security and IT security catalog (critical infrastructures), André Säckel is responsible for the following standards and industry-specific standards, among others: ISO 27001, ISIS12, ISO 20000-1, KRITIS and TISAX (information security in the automotive industry). He is also a member of the ISO/IEC JTC 1/SC 27/WG 1 working group as a national delegate of the German Institute for Standardization DIN.
Loading...