ISO規格は時代の変化とともに定期的に基準が変化していきます。

ISO規格改定が行われるプロセスは、予備段階と通常6つの段階を踏んで作成され， 36ヶ月以内に国際規格の最終案がまとめられることとなっています。

具体的な発行までのプロセスは「提案→準備→合意→問合→承認→発行」というステージになっています。この6つのステージに伴って、新しい規格案が発行されます。
規格案は、NWIP（新作業項目提案）→WD（作業原案）→CD（委員会原案）→DIS（国際規格案）→FDIS（最終国際規格案）→IS（国際規格）といった形で名称も変わっていきます。

流れとしては、ISOの組織下にある委員会の幹事などの提案によってNWIP（新作業項目提案）が出され、規格化が決定します。そして作業原案であるWD(作業原案)が提案され、その後議論・検討が重ねられます。

次にCD(委員会原案)、DIS(国際規格案)、FDIS（最終国際規格案）と修正・追加・削除が繰り返され、最終的には投票によって（75％以上の賛成）によって、IS(国際規格)となるという流れになっています。

そして、この度「ISO27001」の規格改訂が新たに行われました。

改訂内容は主に以下です。

従来の管理策では、5~18までの14テーマ114個の管理策で構成されていました。
これが新規格では、5~8の4テーマ93管理策へと構成が変わります。

具体的には以下の４テーマに集約されます。

5.組織的管理策
6.人的管理策
7.物理的管理策
8.技術的管理策

管理策数は114から93へと減少していますが、完全に削除される管理策は実は0個となっていますが、表記内容のみ変更になっているだけであり実際の管理ルール自体は各項目に複合して存在する事になります。

新しく追加された項目は以下の11管理策です。

5.7　脅威インテリジェンス
5.23　クラウドサービス利用のための情報セキュリティ
5.30　ビジネス継続のためのICTの備え
7.4　物理的セキュリティ監視
8.9　設定管理
8.10　情報の削除
8.11　データマスキング
8.12　データ漏洩の防止
8.16　監視活動
8.23　ウェブフィルタリング
8.28　セキュアコーディング

まだJIS版は発行されておりませんので詳細は不明ですが、新たな管理ルールの導入により対応箇所が増えてきそうです。

詳細はまた追って追記させて頂きます。