2024年4月19日
2022年10月にISO27001(ISMS)規格の改訂がおこなわれました。今回の規格改訂ではISO27001のガイダンス規格とも呼ばれる『附属書A』の内容追加が主な変更点となっています。すでにISO27001を認証している組織は、移行期限である2025年10月31日までに対応できるようにしましょう。
1.そもそもISO27001とは何か?
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)の国際規格です。
この規格は、組織が情報資産を適切に保護し、情報セキュリティを適切に管理するためのガイドラインを提供します。
具体的には、情報セキュリティに関するリスク評価や管理、セキュリティポリシーの策定、組織内外の関係者とのコミュニケーション、セキュリティ意識の向上など、さまざまな項目が含まれています。
2.ISO27001、ISO27002、JIS Q 27001の関係性
ISO/IEC27001は国際規格であり、原文は英文です。
ISO27001を日本企業向けに分かりやすいように日本語訳したものが、JIS Q 27001になります。
ISO27001とJIS Q 27001は書かれている言語が異なるだけで、内容はほとんど同じものと考えてよいです。
また、ISO27001(JIS Q 27001)の中には「附属書A」という項目があり、附属書Aは情報セキュリティ上のリスクを軽減するための管理目的とその目的を達成するための管理策で構成されています。
この附属書Aの管理策についての解説や具体例が記載されたものが「ISO27002」です。
ISO27002はISO27001の管理策を運用する上で欠かせない規格となるため、ISO27001のガイダンス規格とも言われます。
3.規格改訂の背景
規格改訂とは、社会情勢や状況、環境の変化に合わせてより現状に合うようにルールの変更を行うことです。
ISO27001(ISMS)は国際規格ですので、スイスのジュネーブに本部のある国際標準化機構により定期的に会議が実施され、定められた基準の見直しが行われています。
ISO27001は情報セキュリティに関する規格ですので、情報伝達の多様性に応じて見直しは進められるべきでしょうし、実際に見直しがなされています。
原則としては、5年周期での見直しが求められていますが、実際に5年ごとに改正されたという例は少ないです。
ISO27001は国際規格として2005年に登場、2013年に第二版、今回、2022年に最新版(ISO/IEC27001:2022)が公表されました。
4.ISO27001の要求事項、現在の最新版とは?
2024年現在、最新版は、ISO/IEC27001:2022(2022年版)です。
ここでいう「2022」とは、英語で記載された原書の発行年であり、その発行後に日本語への翻訳作業が行われます。
JIS Q 27001の最新版はJIS Q 27001:2023です。
5.最新の規格改訂はいつ行われたのか?
2022年10月25日にISO27001の規格改訂がありました。
すでにISO27001を運用している組織については、規格改訂は更新審査の年に適用するのが望ましいでしょう。審査機関によっては、維持審査より審査工数や費用が安くなるケースがあるためです。
対訳版ISO27001(ISO27001を日本語訳したもの)は2022年11月に発行されました。
対訳版ISO27001とJIS Q 27001に大きな違いはないため、対訳版ISO27001を参考にして規格改訂対応を行っても良いです。
6.いつまでに対応が必要?
(1)移行期間
新規格であるISO/IEC27001:2022への移行期限は、2025年10月31日までです。
- すでにISO27001を取得し運用している組織
すでにISMS認証を取得し運用している企業は、移行審査を受ける必要があります。移行審査を受ける際は、手続きに時間がかかることも考慮に入れ、できるだけ早めに審査を受けることが望ましいでしょう。 - これから新たにISO27001を認証取得する組織
新たにISMS認証を取得する企業や再認証審査を受ける企業は、2024年4月30日までは旧ISO27001:2013での認証取得が可能です。
しかし、実質的には2025年10月31日までに新規格への移行が必要となるため、これから旧版での認証取得を目指すのは難しいと言えます。そのため、ISO27001:2022での認証取得を目指すことを推奨します。
(2)移行対応策
ISMSの規格改訂に伴い、対応すべき事項は2つあります。
まず1つ目は、適用宣言書の改訂です。
新規格への移行により、附属書Aの管理策の構成が変わるため、適用宣言書を新規格に合わせて更新する必要があります。
しかし、管理策の基本的な意味合いは大きく変わらないため、適用や適用除外が大幅に変動することは少ないと考えられます。
主に、組織の運用ルールとの関連性を再評価する作業が中心となるでしょう。
2つ目は、ルールの見直しと追加です。
新規格により新たに11の管理策が追加されるため、それらが適用されているかどうかの再確認が必要となります。
運用ルールの見直しを行い、不足している場合は新たなルールの追加や適用除外の検討が必要となります。
ただし、適用除外を行う際には、適切な理由が必要となります。
7.規格改訂のメリットと今後の展望
①情報セキュリティの向上
規格改訂により、情報セキュリティの管理体制は一層強化されます。
組織は、改訂された要件を適切に適用することで、より信頼性の高い情報セキュリティ体制を構築することが可能となります。
②国際的な信頼と競争力の向上
規格改訂により、情報セキュリティ管理体制が強化されることで、組織は信頼性の高い情報セキュリティ体制を築き上げ、国際的な信頼を得ることができます。
また、規格改訂に適応し、認証を取得することで、顧客や取引先からの信頼を増すことができ、競争力を強化することが可能となります。
さらに、情報セキュリティの重要性が増している現在、ISMS(ISO/IEC27001)の規格改訂は定期的に行われます。
組織は規格改訂に対応するだけでなく、情報セキュリティの最新のトレンドや技術の動向にも目を向け、最新のセキュリティ対策を導入することが求められます。
8.規格の変更点は?
ISO27001:2013の附属書Aには、情報セキュリティリスクを軽減するための114の管理策が記載されています。
これらの管理策の詳細や具体的な例は、既に改訂が行われたISO27002に記載されており、その内容は大幅に変更されています。
ISO27001の改訂は、これらの管理策の変更に伴う附属書Aの改訂となります。
旧規格のISO27002では、A.5~A.18までの14項目からなる114の管理策が設けられていました。
しかし、新規格ではA.5~A.8の4項目に絞り込まれ、93の管理策に変更されています。
具体的な管理策の変更点は
- 新規 11
- 統合 24
- 更新 58
- 削除 0
となっています。
114の管理策から93の管理策になったため、減ったように見えますが、新たに11の管理策が追加されたため、実質的には内容が増えています。
新たに追加された11の管理策についての詳細は以下の通りです。
- 5.7 脅威インテリジェンス
サイバー攻撃やフィッシング、ハッキングなど情報セキュリティの脅威に関連する情報を収集・分析し、対応することが望ましい - 5.23 クラウドサービス利用のための情報セキュリティ
クラウドサービスの取得、利用、管理、および終了に関するプロセスは、組織の情報セキュリティ要求事項に基づいて確立することが望ましい - 5.30 事業継続のためのICTの備え
有事の際に情報セキュリティを維持するだけでなく、情報通信技術の事業が継続できるように対策を設定し、それらを試験などで検証するのが望ましい - 7.4 物理的セキュリティ監視
監視カメラや警備員を配置するなど敷地内を物理的に監視するのが望ましい - 8.9 構成管理
ハードウェア、ソフトウェア、サービスおよびネットワークのセキュリティ構成を含む構成は、確立し、文書化し、実施し、監視し、レビューすることが望ましい - 8.10 情報の削除
情報システムや機器、その他の記憶媒体に保存された情報は、必要がなくなった時点で削除されることが望ましい。データ消去の方針を定めて実施する - 8.11 データマスキング
データマスキングは、適用される法律を考慮した上で、アクセス制御に関する組織のトピック固有の方針、およびその他の関連するトピック固有の要求事項、ならびにビジネス要求事項に従って使用することが望ましい - 8.12 データ漏洩の防止
外部からの攻撃だけでなく、内部流出の脅威への対策を実施する - 8.16 監視活動
ネットワーク、システム、およびアプリケーションの異常な挙動を監視するのが望ましい - 8.23 ウェブフィルタリング
外部のウェブサイトへのアクセスは、悪意のあるコンテンツへさらされることを減らすために管理することが望ましい - 8.28 セキュリティに配慮したコーディング
ソフトウェア開発には、セキュリティに配慮したコーディングの原則を適用することが望ましい
「規格改訂で何がどう変わったのかわからない・・・」とお悩みの方へ。
ISO27001の規格改訂で《何が》変わって《どのように》対応すべきかを資料に詳しくまとめました。
下記より資料をプレゼントいたします!
9. 実際に担当者が対応すべきポイント
①文書・フォーマットで必要なポイント
管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。
②社内で必要なポイント
ISMSの担当者は、規格改訂についての最新情報を定期的にチェックし、収集しましょう。また、認証機関からの情報も確認することをお勧めします。なぜなら、規格が改訂されると、各組織のルールだけでなく、審査機関のルールも変更されるからです。
③新規格対応した状態での内部監査、マネジメントレビューの実施
規格改訂への対応は、単にルールを見直すだけで終わりではありません。
新規格に適応した状態で内部監査とマネジメントレビューを実施し、PDCAサイクルを一度完了させる必要があります。
全ての範囲での実施は必須ではありませんが、規格の改訂により変更された部分やまだ確認していない部分については、必ず実施することが求められます。
10.最新版の規格はどこで手に入れられるか?
解説本、ガイドブック等が非公式で出版されています。
公式のものは、一般財団法人日本規格協会の書籍販売サイトから購入いただけますので、気になる方はチェックしてみてください。
日本規格協会 JSA Group Webdesk(外部サイト)
まとめ
2022年10月にISO27001(ISMS)の規格改訂がありました。
今回の改訂では管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須です。
改訂審査の詳細な内容については、認証機関によって違いがあるため審査を受ける認証機関に必ず確認をとりましょう。
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ