Skip content

どのようなサービスをお探しですか?

このガイドでは、ISO 27001の2013年版と2022年版における附属書A管理策の違いや進化について詳細に解説しています。新しい4つのカテゴリ構造や11の新しい管理策など、リスク対応力を強化するための改訂ポイントを明確に理解できます。

 

改訂の背景と意図

ISO/IEC 27001:2022は、ISO/IEC 27002:2022の改訂に基づき、附属書Aの管理策構成を刷新しました。これにより、従来の114の管理策は93に統合され、新たに11の管理策が追加されています。管理策は、より実践的で現代的なセキュリティ課題への対応を目的に、以下の4つのカテゴリに再編されました。

  • 組織的管理策
  • 人的管理策
  • 物理的管理策
  • 技術的管理策

 

管理策の比較:2013年版 vs. 2022年版

管理策の変更は単なる数の削減ではなく、内容の明確化とテーマの再定義に重点が置かれています。たとえば、2013年版で複数の項目に分かれていた物理的セキュリティ関連の管理策は、2022年版で「物理的セキュリティ監視」など具体的かつ包括的な表現に整理されました。従来の「資産管理」や「人的セキュリティ」なども、新たなテーマごとに再分類されています。

さらに、2022年版では各管理策に対して、目的 や属性 などの新しいメタ情報が加わり、実装意図や影響範囲がより明確になっています。

 

新しく追加された11の管理策

新たに導入された11の管理策は、現代の情報セキュリティに不可欠な要素を反映しています。例として以下のような項目が追加されています:

  • 5.7 脅威インテリジェンス
  • 5.23 情報セキュリティに関する独立性
  • 7.4 物理的セキュリティ監視
  • 8.10 構成管理
  • 8.11 情報の削除
  • 8.12 データマスキング
  • 8.16 モニタリング活動
  • 8.23 Webフィルタリング
  • 8.28 セキュリティに配慮したコーディング

これらの追加項目は、クラウド環境、リモートワーク、ゼロトラストセキュリティなど、近年のトレンドやリスク要素を反映しています。

なお、本ガイドでは、新たに追加された11の管理策それぞれの目的や適用範囲、背景となるリスクに加えて、2013年版から継承・再分類された管理策についても、変更点や新たに付加された属性情報(目的、カテゴリ、属性など)を含めて詳しく解説しています。これにより、組織は移行に向けたギャップ分析や対策の優先順位付けを的確に行うことが可能となります。

 

比較ガイドの構成と使い方

本ガイドは以下の要素で構成されており、認証移行を進めるうえで実務的に活用できます:

  • 旧管理策と新管理策の対応関係(番号・名称)
  • 各管理策の新旧対応表
  • 新しい分類と属性の解説
  • 移行時の検討ポイントとギャップの識別支援

 

ISO/IEC 27001 管理策相互比較ガイドをダウンロード

ISO 27001:2022 への移行準備を進めている場合、このガイドはギャップ評価と内部監査の再設計を支援する貴重な情報源となります。93 の管理策、11 の新規項目、およびテーマ別構造の完全なリストが含まれています。

 

LRQAによるISO/IEC 27001:2022移行支援

LRQAは、ISO/IEC 27001:2022への円滑な移行を支援するために、豊富な認証経験と業界特化の知見を活かしたトータルサポートを提供しています。ギャップ分析から移行計画の立案、リスク評価の見直し、そして新旧管理策のマッピングに至るまで、企業の現状に合わせた実践的なアドバイスと審査サービスを提供します。また、2022年版の附属書Aに対応した内部監査の実施方法や、新しい管理策に関連する教育研修など、移行の各段階で必要となるサポートを柔軟に提供可能です。