１．規格改訂の背景

規格改訂とは、社会情勢や状況、環境の変化に合わせてより現状に合うようにルールの変更を行うことです。

ISO27001（ISMS）は国際規格ですので、スイスのジュネーブに本部のある国際標準化機構により定期的に会議が実施され、定められた基準の見直しが行われています。

ISO27001は情報セキュリティに関する規格ですので、
情報伝達の多様性に応じてこの見直しは進められるべきでしょうし、実際に見直しがなされています。

原則としては「５年周期」での見直しが求められていますが、実際に5年ごとに改正されたという例は少ないです。

ISO27001は国際規格として2000年に登場、その後2005年に第２版、2013年に第３版として改訂があり、今回、最新版として第４版（ISO27001：2022）が公表されました。

２．ISO27001の要求事項、現在の最新版とは？

2022年11月現在、最新版は2022年版となっています。
この2022年というのは英語で記載された原書発行年であり、この発行後に日本語への翻訳活動が行われます。

ISMS（ISO27001）という規格の最新版は2022年版と言えるでしょう。

３．規格改訂はいつ？

ISO27001の規格改訂は2022年10月25日に完了しました。
規格改訂は、できるだけ更新審査の年の運用で行うのが良いでしょう。
審査機関によっては、維持審査より審査工数や費用が安くなるケースがあるためです。

対訳版ISO27001（ISO27001を日本語訳したもの）についても2022年11月に発行されました。
対訳版ISO27001とJISQ27001に大きな違いはないため
対訳版ISO27001を参考にし、規格改訂対応を行いましょう。

４．ISO27001、ISO27002、JISQ27001の関係性

前述した通り、ISO27001は国際規格であり、日本企業向けに分かりやすいように日本語訳したものがJISQ27001になります。
したがって、ISO27001とJISQ27001は同等と考えてよいです。

また、ISO27001（JISQ27001）の中には「附属書A」という項目があり、
附属書Ａは情報セキュリティ上のリスクを軽減するための管理目的と
その目的を達成するための管理策で構成されています。

この附属書Aの管理策についての解説や具体例が記載されたものが「ISO27002」になります。
ISO27002はISO27001の管理策を運用する上で欠かせない規格となるため
ISO27001のガイダンス規格とも言われます。

ISO27001、ISO27002、JISQ27001の関係性の図は以下をご覧ください。

５．いつまでに対応が必要？

認定機関の1つであるISMS‐ACは

ISO27001：2022の移行期間は2022年10月31日を起点とし、それから3年間（2025年10月31日まで）であると発表しました。

ISMS-ACから認定された認証機関で審査を受けている組織はこの移行期間が適用されます。

ISMS-ACではない認定機関で認定された認証機関で審査を受けている組織は

まだ正式な情報が出ていませんが、ISMS-ACが公表した移行期間と

大きな差はないと考えて良いでしょう。

この移行期間で行われる審査の中で改訂審査を受審し、規格改訂作業完了となります。
改訂審査については認証機関の準備が整い次第、通知が来ます。
改訂審査は通常の維持審査や更新審査とまとめて実施されるケースが多いです。

詳細な内容については、認証機関によって違いがあるため
受審する認証機関に連絡して確認をとりましょう。

６．ISO27001新規格発効前に対応は可能？ ※2022年10月新規格発行済み

2022年10月に既に新規格が発行されています。
遅くとも2025年10月31日までには規格改訂は完了させるようにしましょう。

今回の規格改訂はISO27002（ISO27001の附属書Aの項目）の改訂がメインとなっています。ISO27002の改訂はすでに完了しており、対訳版も公表されているため、
その内容を基に改訂の対応をすることは可能です。

７．新規格発効前に対応するメリット・デメリット ※2022年10月新規格発行済み

前述のとおり、2022年10月に新規格が発行されています。
規格改訂作業を先延ばしにせず、変更点を確認しながら、早めに作業を進めましょう。

ISO27001：2022が発表されましたが
2022年10月31日から2023年10月31日まではJIS Q 27001:2014（ISO/IEC 27001:2013）を認証基準とした審査を受審できます。

しかしながら、新規取得を検討している企業にとっては、
これから2013年度版の規格に対応するより、改訂版のISO27002（ISO27001の附属書Aの項目）を参考にしながら新規構築したほうが工数は少ないでしょう。

ただ、既にISMSを取得、運用している企業は
前述した通り、日本語で改訂内容が公表された後、実際のISMSの運用に反映していただくのが、1番工数が少なく改訂対応が出来るでしょう。

８．規格の変更点は？

ISO27001：2013の附属書Aには114項目からなる管理策があります。
この管理策を実施することで情報セキュリティリスクが軽減されるという仕組みです。

これらの管理策の解説や具体例が記載されたISO27002の改訂は先に完了しており、
内容が大幅に変更されています。
ISO27001の改訂自体はこの管理策の変更に伴う附属書Aの改訂です。

具体的な管理策の変更点は

114項目の管理策が
・58項目　更新
・24項目　統合
・11項目　新規
で全93項目に削減されています。

「変更点や対策が具体的に分からない・・・」とお悩みの方へ。
管理策のどの項番がどう変わったのか、プレゼント資料に詳しくまとめました！
下記からお気軽にお問い合わせください。

９．担当者が実際に対応するべきポイントは？

⑴文書・フォーマットで必要なポイント

管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。

⑵社内で必要なポイント
まずはJIS規格がいつ改訂されるのかを認識する必要があります。
ISMSの担当者は、情報収集を行いましょう。
現時点で明確な情報が出ていませんので、定期的に規格改訂についてチェックしましょう。この記事でも最新情報へ更新しますので、ぜひブックマークしてみてください。

規格改訂時期が確認できれば、次は、認証機関からの情報を収集しましょう。
理由として、規格が改訂されると各組織のルールが変わることと同じように審査する機関のルールも同様に変更になる為です。

１０．最新版の規格はどこで手に入れられる？

解説本、ガイドブック等が非公式で出版されています。

公式のものは、一般財団法人日本規格協会の書籍販売サイトから購入いただけますので
気になる方はチェックしてみてください。
日本規格協会グループウェブサイト（外部サイト）

まとめ

2022年10月にISO27001（ISMS）規格改訂が完了しました。

今回の改訂では管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。
改訂審査の詳細な内容については、認証機関によって違いがあるため受審する認証機関に必ず確認をとりましょう。

　

ISO・Pマークについてのお悩みはありませんか？

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ

• ZOOM相談予約

　

ISO・Pマークについてのお悩みはありませんか?

プロのコンサルタントにお気軽にご相談ください。

• 無料お問合せ
• ZOOM相談予約