ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

【最新】ISO27001規格改訂に伴う変更点を徹底解説

スタッフ写真
スタッフ写真

2023年5月25日

【最新】ISO27001規格改訂に伴う変更点を徹底解説

2022年10月にISO27001(ISMS)規格改訂が完了しました。
今回の規格改訂は、ISO27001のガイダンス規格とも呼ばれるISO27002がメインです。
したがって、ISO27001の大幅改訂はないですが、ISMSの運用の見直しは必須になるため注意が必要です。

1.規格改訂の背景

規格改訂とは、社会情勢や状況、環境の変化に合わせてより現状に合うようにルールの変更を行うことです。

ISO27001(ISMS)は国際規格ですので、スイスのジュネーブに本部のある国際標準化機構により定期的に会議が実施され、定められた基準の見直しが行われています。

ISO27001は情報セキュリティに関する規格ですので、
情報伝達の多様性に応じてこの見直しは進められるべきでしょうし、実際に見直しがなされています。

原則としては「5年周期」での見直しが求められていますが、実際に5年ごとに改正されたという例は少ないです。

ISO27001は国際規格として2000年に登場、その後2005年に第2版、2013年に第3版として改訂があり、今回、最新版として第4版(ISO27001:2022)が公表されました。

2.ISO27001の要求事項、現在の最新版とは?

2022年11月現在、最新版は2022年版となっています。
この2022年というのは英語で記載された原書発行年であり、この発行後に日本語への翻訳活動が行われます。

ISMS(ISO27001)という規格の最新版は2022年版と言えるでしょう。

3.規格改訂はいつ?

ISMS規格改訂の流れ

ISO27001の規格改訂は2022年10月25日に完了しました。
規格改訂は、できるだけ更新審査の年の運用で行うのが良いでしょう。
審査機関によっては、維持審査より審査工数や費用が安くなるケースがあるためです。

対訳版ISO27001(ISO27001を日本語訳したもの)についても2022年11月に発行されました。
対訳版ISO27001とJISQ27001に大きな違いはないため
対訳版ISO27001を参考にし、規格改訂対応を行いましょう。


【運用:ISMS】ISO27001 管理策新旧対応表

4.ISO27001、ISO27002、JISQ27001の関係性

前述した通り、ISO27001は国際規格であり、日本企業向けに分かりやすいように日本語訳したものがJISQ27001になります。
したがって、ISO27001とJISQ27001は同等と考えてよいです。

また、ISO27001(JISQ27001)の中には「附属書A」という項目があり、
附属書Aは情報セキュリティ上のリスクを軽減するための管理目的と
その目的を達成するための管理策で構成されています。

この附属書Aの管理策についての解説や具体例が記載されたものが「ISO27002」になります。
ISO27002はISO27001の管理策を運用する上で欠かせない規格となるため
ISO27001のガイダンス規格とも言われます。

ISO27001、ISO27002、JISQ27001の関係性の図は以下をご覧ください。

ISO27001、ISO27002、JISQ27001の関係性

5.いつまでに対応が必要?

認定機関の1つであるISMS‐ACは

ISO27001:2022の移行期間は2022年10月31日を起点とし、それから3年間(2025年10月31日まで)であると発表しました。

ISMS-ACから認定された認証機関で審査を受けている組織はこの移行期間が適用されます。

 

ISMS-ACではない認定機関で認定された認証機関で審査を受けている組織は

まだ正式な情報が出ていませんが、ISMS-ACが公表した移行期間と

大きな差はないと考えて良いでしょう。

この移行期間で行われる審査の中で改訂審査を受審し、規格改訂作業完了となります。
改訂審査については認証機関の準備が整い次第、通知が来ます。
改訂審査は通常の維持審査や更新審査とまとめて実施されるケースが多いです。

詳細な内容については、認証機関によって違いがあるため
受審する認証機関に連絡して確認をとりましょう。

 

6.ISO27001新規格発効前に対応は可能? ※2022年10月新規格発行済み

2022年10月に既に新規格が発行されています。
遅くとも2025年10月31日までには規格改訂は完了させるようにしましょう。

今回の規格改訂はISO27002(ISO27001の附属書Aの項目)の改訂がメインとなっています。ISO27002の改訂はすでに完了しており、対訳版も公表されているため、
その内容を基に改訂の対応をすることは可能です。

 

7.新規格発効前に対応するメリット・デメリット ※2022年10月新規格発行済み

前述のとおり、2022年10月に新規格が発行されています。
規格改訂作業を先延ばしにせず、変更点を確認しながら、早めに作業を進めましょう。

ISO27001:2022が発表されましたが
2022年10月31日から2023年10月31日まではJIS Q 27001:2014(ISO/IEC 27001:2013)を認証基準とした審査を受審できます。

しかしながら、新規取得を検討している企業にとっては、
これから2013年度版の規格に対応するより、改訂版のISO27002(ISO27001の附属書Aの項目)を参考にしながら新規構築したほうが工数は少ないでしょう。

ただ、既にISMSを取得、運用している企業は
前述した通り、日本語で改訂内容が公表された後、実際のISMSの運用に反映していただくのが、1番工数が少なく改訂対応が出来るでしょう。

プロのコンサルタントがお悩みをお伺いします!

 

8.規格の変更点は?

ISO27001:2013の附属書Aには114項目からなる管理策があります。
この管理策を実施することで情報セキュリティリスクが軽減されるという仕組みです。

これらの管理策の解説や具体例が記載されたISO27002の改訂は先に完了しており、
内容が大幅に変更されています。
ISO27001の改訂自体はこの管理策の変更に伴う附属書Aの改訂です。

具体的な管理策の変更点は

114項目の管理策が
・58項目 更新
・24項目 統合
・11項目 新規
で全93項目に削減されています。

 

「変更点や対策が具体的に分からない・・・」とお悩みの方へ。
管理策のどの項番がどう変わったのか、プレゼント資料に詳しくまとめました!
下記からお気軽にお問い合わせください。


【運用:ISMS】ISO27001 管理策新旧対応表

9.担当者が実際に対応するべきポイントは?

⑴文書・フォーマットで必要なポイント

管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。

⑵社内で必要なポイント
まずはJIS規格がいつ改訂されるのかを認識する必要があります。
ISMSの担当者は、情報収集を行いましょう。
現時点で明確な情報が出ていませんので、定期的に規格改訂についてチェックしましょう。この記事でも最新情報へ更新しますので、ぜひブックマークしてみてください。

規格改訂時期が確認できれば、次は、認証機関からの情報を収集しましょう。
理由として、規格が改訂されると各組織のルールが変わることと同じように審査する機関のルールも同様に変更になる為です。

10.最新版の規格はどこで手に入れられる?

解説本、ガイドブック等が非公式で出版されています。

公式のものは、一般財団法人日本規格協会の書籍販売サイトから購入いただけますので
気になる方はチェックしてみてください。
日本規格協会グループウェブサイト(外部サイト)

まとめ

2022年10月にISO27001(ISMS)規格改訂が完了しました。

今回の改訂では管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。
改訂審査の詳細な内容については、認証機関によって違いがあるため受審する認証機関に必ず確認をとりましょう。

 
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。
コンサルタント写真
 
ISO・Pマークについてのお悩みはありませんか?
プロのコンサルタントにお気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。