ISO27001とISO27002はどちらも情報セキュリティ管理に関する国際標準規格ですが、内容と目的に違いがあります。ISO27001はISMSの要求事項を定めたもので、ISO27002はベストプラクティスとなる具体的なガイダンスを提供するものです。つまり、ISO27001は「何をすべきか」を、ISO27002は「それをどのように達成すべきか」を示しています。
INDEX
ISO27001とは、情報セキュリティマネジメントシステムを構築するための「要求事項」です。
セキュリティ事故を未然に防ぎ、セキュリティのレベルを高めるためのPDCAサイクルです。
PDAサイクルとは、
P:プラン(計画)
D:ドゥー(実行)
C:チェック(評価)
A:アクション(改善)
を繰り返して、徐々に改善を図っていくものとなります。
このPDCAサイクルを体系化し、どの企業にも取り入れられやすいようにしたものが、ISO27001の要求事項となります。
ISO27002とは情報セキュリティ対策をする上で参考とするガイドラインのようなものの「実践規範」です。
もう少し言うとISO27001には、情報セキュリティマネジメントシステムを構築するために必要な要求事項が2種類存在します。それが、本文の要求事項と管理策の要求事項です。
ISO27001の管理策の要求事項に対する解説本、またはガイドラインとしてISO27002が存在します。
ISO27001の管理策は、ISO27001:2013では114項目存在していましたが、2022年10月に発行されたISO27001:2022では93項目に減りました。
また、93項目のうち11項目で新たに管理策が加わっています。減ったように見えますが、削除された項目はないので内容としては増えています。
93項目の構成としては、組織的管理策、人的管理策、物理的管理策、技術的管理策となっており、ISO27002:2022の5~8に規定したものをそのまま取り入れていて、ISO27001の管理策とISO27002との整合性が取れている状態となります。
実はISO27002のみではISOとして認証されません。ISO27002は認証規格ではないからです。
情報セキュリティに関する認証を受けるためには、ISO27001の要求事項を満たした手順を作成し、PDCAサイクルのマネジメントシステムを作って初めて情報セキュリティに関する認証が受けられるのです。
ISO27002の扱いとしては、ISO27001に書かれている管理策の参考資料として使用するのがよいでしょう。
大事なことなので、もう一度書きますが、情報セキュリティのISO認証を受けようとした時に、ISO27002のみを参照して手順を作るのみでは認証がされません。
ISO27001の本文と管理策の要求事項に従って情報セキュリティマネジメントシステムの構築とセキュリティルールを作って審査を受けることで情報セキュリティの認証を受けることができます。
ISO27001とISO27002の違いとはなんでしょう。
まず、書かれている内容を確認すると、
ISO27001:管理目的と管理策
ISO27002:管理策、目的、手引き、その他の情報
という具合になっています。
用途としては、ISO27001は要求事項として書かれており、ISO27002では管理策を立てるための手引き・参考資料と思ってください。
ISO27001に書かれた管理策の対応方法に困ったらISO27002を参照して対応方法を検討するのです。
繰り返しになりますが、ISO27002は要求事項ではなくISMS構築できないため、ISO27002のみではISO認証は取得できないのです。
2.(1)で少し触れましたが、ISO27001は2022年10月より、ISO27001:2013からISO27001:2022に規格が改訂、アップデートされました。
ISO27001:2013では管理策が114項目ありましたが、ISO27001:2022からは93項目に減りました。
減ったといっても実際には削除された管理策はなく、似たような項目をまとめ上げ、さらに11項目が新たな管理策として追加されました。つまり内容は増えています。
その93項目の大分類として、以下の構成となっています。
5.組織的管理策
6.人的管理策
7.物理的管理策
8.技術的管理策
以前は細かく分類されており、A.5~A.18となっておりました。今回からは4つの視点での分け方となっており、見やすくなっています。
それでは、新たに追加された11項目の管理策とはどのようなものになっているのかを紹介します。
5.7 脅威インテリジェンス
5.23 クラウドサービス利用における情報セキュリティ
5.30 事業継続のためのICTの備え
7.4 物理的セキュリティの監視
8.9 構成管理
8.10 情報の削除
8.11 データマスキング
8.12 データ漏洩の防止
8.16 監視活動
8.23 ウェブフィルタリング
8.28 セキュリティに配慮したコーディング※引用:ISO/IEC 27001 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 附属書A| 日本規格協会(JSA)
以上の11項目が新たに追加された管理策となっています。
それでは、この中からさらに絞って、重要な3つの管理策を紹介します。
タイトルを直訳すると、「脅威に関する知性、理知、理解力」となります。
要するに、セキュリティの脅威となる物事の情報を収集し、それを統計分析等を行い、自分たちのセキュリティ強化に役立てられるようにしましょう、ということです。
セキュリティ強化に関しては、リスク対応計画でも良いですし、教育の資料に反映するということでも良いです。
この構成管理に関しては、少々手間がかかります。
要求事項では、ハードウェア、ソフトウェア、ネットワーク、サービスに関して管理できる状態にして文書化してください、となっています。
ハードウェアやソフトウェアに関しては、会社で資産管理を行ったり、ライセンス管理を行っていたりすることが多いと思います。
ネットワークに関しても、ネットワーク図などを作成していることも多いと思うので、問題はありません。
ただ、サービスに関しては、一覧化していないことが多いので、この文書化を検討したほうが良いです。
上記のことをほとんど行っていない企業は、これらを新たに行わなければならないので少し大変かもしれません。
今回、この管理策が増えたため、セキュリティ対策を新たに行わなければならないかもしれません。
ログ監視の延長線上だと思ってもらうとわかりやすいかもしれません。
ちなみに、「7.4 物理的セキュリティの監視」というものがあるなど、全体的に監視を行う管理策が増えたことがわかります。ここに関しては、監視カメラがあると理想的ですね。
監視活動に関しては、理想的なのはスカイシ―やマリオンクラウドといった監視ツールを入れることです。
これがなければ手動で監視活動を行うための対策を考えなければなりません。
ISO27001とISO27002の違いについて解説を行いました。
ISO27001とISO27002については、以下のポイントを抑えれば大丈夫です。
・ISO27001は情報セキュリティマネジメントシステムを構築するための「規格要求」
・ISO27002は情報セキュリティ対策をする上で参考とするガイドラインのようなものの「実践規範」
・ISO27002は認証規格ではないのでISO認証はできない
・ISO27001に書かれた管理策の対応方法に困ったらISO27002を参照して対応方法を検討する
これを前提にISO27001の情報セキュリティマネジメントシステム認証を目指してはいかがでしょうか?
構築する中でお困りのことがあればいつでもISO NEXTへお声がけください。
このナレッジの監修者
結石 一樹 KEISHI KAZUKI
株式会社スリーエーコンサルティング 執行役員。
ISO・ISMS・Pマークに関するコンサルティング歴10年、担当企業数380社以上。
大手企業や上場企業のサポート経験が豊富。
効率的で効果的な認証取得はもちろん、運用のマンネリ化や形骸化、ダブルスタンダード化などの問題解決に日々取り組んでいる。