情報セキュリティマネジメント・セミナー2023
27000シリーズの最新動向とJISQ27001:2023移行について
2023年12月18日開催セミナーの質問・回答
(日本ISMSユーザグループ)

2024.1.25
  
情報セキュリティマネジメントセミナー2023にご参加頂き、ありがとうございました。
セミナー当日頂いた質問のなかで共通的な質問について回答させて頂きます。
セミナーの講演資料、講演動画はこちらからご覧いただけます。セミナーページを見る>>
共通質問1
適用宣言書のなかで必要とした管理策を実施しているか否かについて「実施していない」となるケースの参考事例とその場合に不適合になるかならないかの判断ポイントについてご教示ください。
必要な管理策は6.1.3 b) に基づいて決定します。これを「実施していないとなるケース」として下記のような事例があります。
@管理策を採用するがすぐには実施できない場合:
事例:「8.14 情報処理施設・設備の冗長性」を実施していない
リスクアセスメントで、可用性を確保するためにネットワークとサーバの冗長性が必要であると決定したが、設備投資に必要な資金が今年度は調達できないため、次年度以降で予算を確保することにしたので、管理策の実施は最低でも1年以上後になる。
不適合になるか否かの判断については6.1.3, f) に、「情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る.」とあります。決定した管理策を実施していない場合は、リスク受容水準を超えて残留している情報セキュリティリスクがある可能性があり、リスク受容水準を超えたリスクについてリスク受容を行っていなければ不適合になります。

A管理策を採用するが現時点では対応するリスクがない:
「5.23クラウドサービスにおける情報セキュリティ」を実施していない
オンプレミスシステムのクラウドサービスへの移行を進めているが、現時点ではまだ計画段階であるため、これから採用するクラウドサービスのために社内規定で定めるべき事項の検討を開始した。今年度の審査には間に合わなかったが、3か月後には社内規定の策定を完了して、これによって本管理策を実施する。また、6か月後にはクラウドサービスへの移行を開始する予定である。
リスクアセスメントでは、リスクがなければ対策は必要ありませんが、上記のケースはこれからリスクが発生する予定であるために、管理策を選択しているケースです。
ISMS認証審査では、適用宣言書で「適用」となっている管理策は、審査でその実施状況を確認しなければなりませんが、上記のケースでは、組織が定めた対策(検討中)の実施を確認することはできないため「実施していない理由が適切」として審査対象外とすることになります。
共通質問2
27001の6.1.3d)の「管理策を含めた理由」に関する説明が非常に参考になりました。
2013年版の附属書Aには、目的の記載がありましたが、今回の改定で27002の方に移動されたように思われます。
目的には管理策を適用するときの考え方が記載されているので、組織の考え方と一致する場合はこれを採用して理由として記載することも考えられますが問題ないでしょうか?
ISO/IEC 27001の附属書Aは、ISO/IEC27002:2022の管理策を取り入れたものですが、27002の目的は27001から移動したのではなく、27002から27001に取り込まなかったものです。
ISO/IEC27002:2022にある管理策ごとの目的は、管理策を含めた理由を考える上で重要な参考情報になります。
ISO/IEC 27002:2022にある目的は、汎用の国際標準として、これを使う組織のそれぞれの状況に依存しない範囲での記述です。適用宣言書に書く「管理策を含めた理由」は、ISMS適合性審査において、箇条6.1.3 b)とc)に適合しているかを確認する上で重要な手掛かりを提供するため、組織の事業、業務、部門などに関係する、その組織において低減すべき情報セキュリティリスクが読み取れる記述にすることが理想的です。
共通質問3
ISO/IEC 27017 に基づくISMSクラウドセキュリティ認証について、ISO/IEC 27001 の改定に伴ってどのような対応が必要になりますか?
ISMSクラウドセキュリティ認証は、認証基準であるJIP-ISMS517-1.0の要求事項に変更はないので、移行はありません。
ただし、その基となるISMS認証がISO/IEC 27001:2022へと変更になるため、ISMSクラウドセキュリティ認証を取得している組織は、基となるISMS認証をISO/IEC 27001:2022に対応させる必要があります。詳細は、ISMS-ACの以下のHPサイトをご確認ください。
参考情報として羽田 卓郎氏提供のISMSクラウドセキュリティ認証用のSOA(適用宣言書)をご覧ください。
こちらからダウンロードできます>>
「情報マネジメントシステム認定センター」
ISO/IEC 27001:2022の発行に伴うISMSクラウドセキュリティ認証及びISMS-PIMS認証の対応について
https://isms.jp/topics/news/20230808.html