1.ISO27002とは

2.ISO27002管理策について

ISO27002は、ISO27001の管理策を実践するための具体的な基準をまとめた規格です。
管理策とは、ISO27001の要求事項の附属書Aに記載された情報セキュリティリスク対策の基準を示したもので、組織は業務内容や認証範囲に応じて、自社に適用する管理策を決めることができます。

ISO27001とISO27002の関係性は次のように理解すると良いでしょう。

ISO27001の附属書Aは、管理策のカテゴリーや項目を列挙したもので、管理策を適用するかどうかのチェックリストとして確認用に適しています。

一方、ISO27002は、管理策一つひとつを実践するための手引きで、具体的な方法が記載されており、参考資料として利用できます。

3.ISO27001とISO27002との違いは？

ISO27001とISO27002との違いは下記のとおりです。

ISO27001：情報セキュリティマネジメントシステム（ISMS）の要件を定めており、「何を」行うべきかを示している

ISO27002：情報セキュリティ管理策の実施に関するガイドラインを提供しており、「どうやって」それを実行するかを説明している

ISO27001は、情報セキュリティマネジメントシステム（ISMS）の国際規格です。この規格は、組織が情報資産を適切に管理し、情報セキュリティを維持するための枠組みを提供します。
組織は、ISO27001に基づいて情報セキュリティポリシーを策定し、リスクアセスメントを実施し、適切な管理策を実施することで、情報セキュリティを確保することが求められます。

ISO27002は、情報セキュリティに関する実践的なガイダンスを提供する規格です。この規格では、情報セキュリティに関連する様々な管理策や実施手順が示されており、組織が情報セキュリティを向上させるための具体的な指針を提供しています。

ISO27001は情報セキュリティマネジメントシステムの構築と運用に焦点を当てているのに対し、ISO27002は具体的な情報セキュリティに関する管理策や手順に焦点を当てています。組織は、ISO27001に基づいてISMSを構築し、ISO27002を参考にして情報セキュリティに関する具体的な対策を実施することで、情報セキュリティを総合的に強化することができます。

4.ISO27002とJISQ27002の違いは？

ISO27002とJIS Q 27002は、基本的には同じ内容の情報セキュリティ管理のための国際規格です。

ISO27002（正式名称：ISO/IEC27002）は国際標準化機構（ISO）と国際電気標準会議（IEC）が共同で制定した国際規格で、世界中で広く認知されています。

一方、JIS Q 27002は、ISO/IEC 27002を日本の産業標準（JIS）として採用したものです。
内容はISO/IEC 27002と同じですが、日本国内での適用を前提としているため、日本語訳が提供されている点が特徴です。

一般財団法人日本情報経済社会推進協会の資料によると、下記のように記されています。

ISO/IEC 27001：組織の事業リスク全般を考慮して、文書化したISMSを確立、実施、維持及び継続的に改善するための要求事項を規定した規格。

ISO/IEC 27002： 組織の情報セキュリティリスクの環境を考慮に入れた管理策の選定、実施及び管理を含む、組織の情報セキュリティ標準及び情報セキュリティマネジメントを実施するためのベストプラクティスをまとめた規格。ISO/IEC 27001 の「附属書A 管理目的及び管理策」と整合がとられている。

引用：一般財団法人日本情報経済社会推進協会「ISO/IEC 27000 ファミリー規格について」

5.ISO27002だけでは認証審査は受けることができない

認証審査を受けるためには、ISO27001という情報セキュリティマネジメントシステム（ISMS）の標準を導入し、それに準拠したシステムを運用する必要があります。
ISO27001は、情報セキュリティリスクを管理するためのフレームワークを提供し、その運用により組織が情報セキュリティリスクを適切に管理していることを証明するための認証を取得することができます。
ISO27002は、ISO27001の要求事項を満たすための具体的なガイダンスやベストプラクティスを提供する補完的な役割を果たしています。
したがって、ISO27002を参考にしながらISO27001に準拠したISMSを構築・運用することで、情報セキュリティマネジメントシステムの認証審査を受けることが可能となります。

6.ISO /IEC27002の最新版

⑴最新版はいつ改訂されたのか

2022年2月、国際標準化機構からISO/IEC 27002:2022が発表されました。
このバージョンでは、情報セキュリティ管理のベストプラクティスが更新され、現代のビジネス環境に適応する内容になりました。

⑵ISO27002の改訂内容

2022年2月のISO/IEC 27002の主な改定内容は以下のとおりです。

• 管理策の項目数と章立ての変更
  以前の114の管理策が統合されて82個になり、新しく11の管理策が追加されました。新しいISO/IEC 27002には93個の管理策が記されています。新しく追加された管理策は、サイバーセキュリティ対策や、個人情報保護を意識した内容が多いです。
• 新しい管理策の追加
  新しく追加された管理策には、脅威インテリジェンス、クラウドサービス利用のための情報セキュリティ、事業継続のためのICTの備え、物理的セキュリティの監視、構成管理、情報の削除、データマスキング、データ漏洩防止、監視活動、Webフィルタリング、セキュアコーディングなどが含まれています。

7.ISO27002の管理策構成

新しく追加された11の管理策

• 5.7　脅威インテリジェンス
• 5.23　 クラウドサービス利用時の情報セキュリティ
• 5.30　事業継続のためのICT準備
• 7.4　 物理的なセキュリティ監視
• 8.9　 構成管理
• 8.10　情報の削除
• 8.11　 データマスキング
• 8.12　データ漏洩防止
• 8.16　監視活動
• 8.23　フィルタリング
• 8.28　セキュアコーディング

ISO/IEC 27002:2022の管理策4分類

• 組織的管理策（37項目）
• 人的管理策（8項目）
• 物理的管理策（14項目
• 技術的管理策（34項目）

情報セキュリティリスクに関する最新の動向を踏まえて再構成され、ISO/IEC 27002:2013で114項目だったところから、ISO/IEC 27002:2022では93項目になりました。

8.まとめ

ISO/IEC 27002は、ISO/IEC 27001の管理策を具体的に実践するための規格で、企業規模や業種に応じた対策が示されています。管理策は、ISO/IEC 27001の附属書Aに記載された情報セキュリティリスク対策の基準で、組織はこれを自社に適用します。ISO/IEC 27001の附属書Aは管理策のチェックリスト、ISO/IEC 27002はその実践手引きとして利用できます。

ISO/IEC 27002は具体的な実施手引きを提供していますが、その表現は抽象的であり、解釈が難しい場合もあります。対応方法や適用可否について迷った場合は、専門家に相談することをお勧めします。

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン
  相談予約

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• オンライン相談予約