2023年11月2日
ISMAP-LIUとは?ISMAPとの違いについても解説
ISMAP-LIUとは、政府機関等による調達リスト登録のための認証です。ISMAP for Low-Impact Useの略であり、セキュリティリスクの低いサービスを取り扱うSaaS事業者が対象となります。
類似のISMAPの必要事項が約800〜1,000項目程度(全数は約1,300項目)に対し、ISMAP-LIUの必要項目は100〜200項目程度になることが多く、ISMAPよりも取り組みやすい規格です。
2024年4月19日
2022年10月にISO27001(ISMS)規格の改訂がおこなわれました。今回の規格改訂ではISO27001のガイダンス規格とも呼ばれる『附属書A』の内容追加が主な変更点となっています。すでにISO27001を認証している組織は、移行期限である2025年10月31日までに対応できるようにしましょう。
具体的には、情報セキュリティに関するリスク評価や管理、セキュリティポリシーの策定、組織内外の関係者とのコミュニケーション、セキュリティ意識の向上など、さまざまな項目が含まれています。
ISO/IEC27001は国際規格であり、原文は英文です。
ISO27001を日本企業向けに分かりやすいように日本語訳したものが、JIS Q 27001になります。
ISO27001とJIS Q 27001は書かれている言語が異なるだけで、内容はほとんど同じものと考えてよいです。
また、ISO27001(JIS Q 27001)の中には「附属書A」という項目があり、附属書Aは情報セキュリティ上のリスクを軽減するための管理目的とその目的を達成するための管理策で構成されています。
この附属書Aの管理策についての解説や具体例が記載されたものが「ISO27002」です。
ISO27002はISO27001の管理策を運用する上で欠かせない規格となるため、ISO27001のガイダンス規格とも言われます。
規格改訂とは、社会情勢や状況、環境の変化に合わせてより現状に合うようにルールの変更を行うことです。
ISO27001(ISMS)は国際規格ですので、スイスのジュネーブに本部のある国際標準化機構により定期的に会議が実施され、定められた基準の見直しが行われています。
ISO27001は情報セキュリティに関する規格ですので、情報伝達の多様性に応じて見直しは進められるべきでしょうし、実際に見直しがなされています。
原則としては、5年周期での見直しが求められていますが、実際に5年ごとに改正されたという例は少ないです。
ISO27001は国際規格として2000年に登場、その後2005年に第2版、2013年に第3版として改訂があり、2022年に最新版として第4版(ISO/IEC27001:2022)が公表されました。
2024年現在、最新版は、ISO/IEC27001:2022(2022年版)です。
ここでいう「2022」とは、英語で記載された原書の発行年であり、その発行後に日本語への翻訳作業が行われます。
JIS Q 27001の最新版はJIS Q 27001:2023です。
2022年10月25日にISO27001の規格改訂がありました。
すでにISO27001を運用している組織については、規格改訂は更新審査の年に適用するのが望ましいでしょう。審査機関によっては、維持審査より審査工数や費用が安くなるケースがあるためです。
対訳版ISO27001(ISO27001を日本語訳したもの)は2022年11月に発行されました。
対訳版ISO27001とJIS Q 27001に大きな違いはないため、対訳版ISO27001を参考にして規格改訂対応を行っても良いです。
新規格であるISO/IEC27001:2022への移行期限は、2025年10月31日までです。
ISMSの規格改訂に伴い、対応すべき事項は2つあります。
まず1つ目は、適用宣言書の改訂です。
新規格への移行により、附属書Aの管理策の構成が変わるため、適用宣言書を新規格に合わせて更新する必要があります。
しかし、管理策の基本的な意味合いは大きく変わらないため、適用や適用除外が大幅に変動することは少ないと考えられます。
主に、組織の運用ルールとの関連性を再評価する作業が中心となるでしょう。
2つ目は、ルールの見直しと追加です。
新規格により新たに11の管理策が追加されるため、それらが適用されているかどうかの再確認が必要となります。
運用ルールの見直しを行い、不足している場合は新たなルールの追加や適用除外の検討が必要となります。
ただし、適用除外を行う際には、適切な理由が必要となります。
規格改訂により、情報セキュリティの管理体制は一層強化されます。
組織は、改訂された要件を適切に適用することで、より信頼性の高い情報セキュリティ体制を構築することが可能となります。
規格改訂により、情報セキュリティ管理体制が強化されることで、組織は信頼性の高い情報セキュリティ体制を築き上げ、国際的な信頼を得ることができます。
また、規格改訂に適応し、認証を取得することで、顧客や取引先からの信頼を増すことができ、競争力を強化することが可能となります。
さらに、情報セキュリティの重要性が増している現在、ISMS(ISO/IEC27001)の規格改訂は定期的に行われます。
組織は規格改訂に対応するだけでなく、情報セキュリティの最新のトレンドや技術の動向にも目を向け、最新のセキュリティ対策を導入することが求められます。
ISO27001:2013の附属書Aには、情報セキュリティリスクを軽減するための114の管理策が記載されています。
これらの管理策の詳細や具体的な例は、既に改訂が行われたISO27002に記載されており、その内容は大幅に変更されています。
ISO27001の改訂は、これらの管理策の変更に伴う附属書Aの改訂となります。
旧規格のISO27002では、A.5~A.18までの14項目からなる114の管理策が設けられていました。
しかし、新規格ではA.5~A.8の4項目に絞り込まれ、93の管理策に変更されています。
具体的な管理策の変更点は
となっています。
114の管理策から93の管理策になったため、減ったように見えますが、新たに11の管理策が追加されたため、実質的には内容が増えています。
新たに追加された11の管理策についての詳細は以下の通りです。
「規格改訂で何がどう変わったのかわからない・・・」とお悩みの方へ。
ISO27001の規格改訂で《何が》変わって《どのように》対応すべきかを資料に詳しくまとめました。
下記より資料をプレゼントいたします!
管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。
ISMSの担当者は、規格改訂についての最新情報を定期的にチェックし、収集しましょう。また、認証機関からの情報も確認することをお勧めします。なぜなら、規格が改訂されると、各組織のルールだけでなく、審査機関のルールも変更されるからです。
規格改訂への対応は、単にルールを見直すだけで終わりではありません。
新規格に適応した状態で内部監査とマネジメントレビューを実施し、PDCAサイクルを一度完了させる必要があります。
全ての範囲での実施は必須ではありませんが、規格の改訂により変更された部分やまだ確認していない部分については、必ず実施することが求められます。
解説本、ガイドブック等が非公式で出版されています。
公式のものは、一般財団法人日本規格協会の書籍販売サイトから購入いただけますので、気になる方はチェックしてみてください。
日本規格協会 JSA Group Webdesk(外部サイト)
2022年10月にISO27001(ISMS)の規格改訂がありました。
今回の改訂では管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須です。
改訂審査の詳細な内容については、認証機関によって違いがあるため審査を受ける認証機関に必ず確認をとりましょう。
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください