日本規格協会、ISO / IEC 27002 の改訂を受け「JIS Q 27002:2024」発行

　一般財団法人 日本規格協会は7月16日、「JIS Q 27002:2024（情報セキュリティ，サイバーセキュリティ及びプライバシー保護―情報セキュリティ管理策）」を6月20日に発行したと発表した。2022年2月にISO/IEC 27002が改訂されたことを受けたもの。

　ISO（国際標準化機構）およびIEC（国際電気標準会議）が全世界で統一された規格を制定しているのに対し、JISは日本の国家規格となる。ただし、基本的にISOに対応する形で規格が定められているほか、日本の提案がISOにより国際規格として制定されるケースもある。ISO/IEC 27001（ISMS）はその一つとなる。

　ISO/IECはマネジメントシステムとして多くの国際規格を制定しており、ISO 9001（品質）、ISO 14001（環境）、ISO 22000（食品安全）など多くの規格が存在する。ISO/IEC 27000シリーズは情報セキュリティマネジメントシステムに関する規格となっている。単に規格に準拠するだけでなく、継続的にPDCAを回して改善を行い、定期的監査が行われる。

　ISO/IEC 27000 ファミリー規格は、要求事項（ISO/IEC 27001）、ISMS認証機関のための要求事項（ISO/IEC 27006）、セクター固有のISMS実施のための追加の要求事項の枠組み（ISO/IEC 27009）、ISMS実施の様々な側面に関する手引を規定した規格（一般的なプロセス、管理策に関する指針およびセクター固有の手引）から構成される。なお、規格の番号は27000～27040番台および27100～27110番台の一部が中心となっている。

　今回発行されたJIS Q 27002:2024はISO/IEC 27002の改訂を受けたもので、主に「情報セキュリティ管理策の追加・統合」と「様々な管理策体系の見方への対応」が改定されている。情報セキュリティ管理策は改定前の114から93に更新・統合され、管理策の分類は14分類から「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の4分類に再整理された。

　様々な管理策体系の見方への対応では、規格の箇条構造とは異なる観点でも管理策体系の見方を構築できるよう、管理策の属性と属性値の概念を導入した。管理策ごとに表で示された、「管理策タイプ」「情報セキュリティ特性」「サイバーセキュリティ概念」「運用機能」「セキュリティドメイン」の5つの属性値を活用することで、管理策体系の見方を構築できる。

　同協会では「JIS Q 27002:2024」文書を15,620円（税込）で販売している。