2023年5月25日

2022年10月にISO27001(ISMS)規格改訂が完了しました。
今回の規格改訂は、ISO27001のガイダンス規格とも呼ばれるISO27002がメインです。
したがって、ISO27001の大幅改訂はないですが、ISMSの運用の見直しは必須になるため注意が必要です。
1.規格改訂の背景
規格改訂とは、社会情勢や状況、環境の変化に合わせてより現状に合うようにルールの変更を行うことです。
ISO27001(ISMS)は国際規格ですので、スイスのジュネーブに本部のある国際標準化機構により定期的に会議が実施され、定められた基準の見直しが行われています。
ISO27001は情報セキュリティに関する規格ですので、
情報伝達の多様性に応じてこの見直しは進められるべきでしょうし、実際に見直しがなされています。
原則としては「5年周期」での見直しが求められていますが、実際に5年ごとに改正されたという例は少ないです。
ISO27001は国際規格として2000年に登場、その後2005年に第2版、2013年に第3版として改訂があり、今回、最新版として第4版(ISO27001:2022)が公表されました。
2.ISO27001の要求事項、現在の最新版とは?
2022年11月現在、最新版は2022年版となっています。
この2022年というのは英語で記載された原書発行年であり、この発行後に日本語への翻訳活動が行われます。
ISMS(ISO27001)という規格の最新版は2022年版と言えるでしょう。
3.規格改訂はいつ?
ISO27001の規格改訂はは2022年10月25日に完了しました。
規格改訂は、できるだけ更新審査の年の運用で行うのが良いでしょう。
審査機関によっては、維持審査より審査工数や費用が安くなるケースがあるためです。
対訳版ISO27001(ISO27001を日本語訳したもの)についても2022年11月に発行されました。
対訳版ISO27001とJISQ27001に大きな違いはないため
対訳版ISO27001を参考にし、規格改訂対応を行いましょう。
4.ISO27001、ISO27002、JISQ27001の関係性
前述した通り、ISO27001は国際規格であり、日本企業向けに分かりやすいように日本語訳したものがJISQ27001になります。
したがって、ISO27001とJISQ27001は同等と考えてよいです。
また、ISO27001(JISQ27001)の中には「附属書A」という項目があり、
附属書Aは情報セキュリティ上のリスクを軽減するための管理目的と
その目的を達成するための管理策で構成されています。
この附属書Aの管理策についての解説や具体例が記載されたものが「ISO27002」になります。
ISO27002はISO27001の管理策を運用する上で欠かせない規格となるため
ISO27001のガイダンス規格とも言われます。
ISO27001、ISO27002、JISQ27001の関係性の図は以下をご覧ください。
5.いつまでに対応が必要?
認定機関の1つであるISMS‐ACは
ISO27001:2022の移行期間は2022年10月31日を起点とし、それから3年間(2025年10月31日まで)であると発表しました。
ISMS-ACから認定された認証機関で審査を受けている組織はこの移行期間が適用されます。
ISMS-ACではない認定機関で認定された認証機関で審査を受けている組織は
まだ正式な情報が出ていませんが、ISMS-ACが公表した移行期間と
大きな差はないと考えて良いでしょう。
この移行期間で行われる審査の中で改訂審査を受審し、規格改訂作業完了となります。
改訂審査については認証機関の準備が整い次第、通知が来ます。
改訂審査は通常の維持審査や更新審査とまとめて実施されるケースが多いです。
詳細な内容については、認証機関によって違いがあるため
受審する認証機関に連絡して確認をとりましょう。
6.ISO27001新規格発効前に対応は可能?
今回の規格改訂はISO27002(ISO27001の附属書Aの項目)の改訂がメインとなっています。ISO27002の改訂はすでに完了しており、対訳版も公表されているため、
その内容を基に改訂の対応をすることは可能です。
7.新規格発効前に対応するメリット・デメリット
ISO27001:2022が発表されましたが
2022年10月31日から2023年10月31日まではJIS Q 27001:2014(ISO/IEC 27001:2013)を認証基準とした審査を受審できます。
しかしながら、新規取得を検討している企業にとっては、
これから2013年度版の規格に対応するより、改訂版のISO27002(ISO27001の附属書Aの項目)を参考にしながら新規構築したほうが工数は少ないでしょう。
ただ、既にISMSを取得、運用している企業は
前述した通り、日本語で改訂内容が公表された後、実際のISMSの運用に反映していただくのが、1番工数が少なく改訂対応が出来るでしょう。
8.規格の変更点は?
ISO27001:2013の附属書Aには114項目からなる管理策があります。
この管理策を実施することで情報セキュリティリスクが軽減されるという仕組みです。
これらの管理策の解説や具体例が記載されたISO27002の改訂は先に完了しており、
内容が大幅に変更されています。
ISO27001の改訂自体はこの管理策の変更に伴う附属書Aの改訂です。
具体的な管理策の変更点は
114項目の管理策が
・58項目 更新
・24項目 統合
・11項目 新規
で全93項目に削減されています。
「変更点や対策が具体的に分からない・・・」とお悩みの方へ。
管理策のどの項番がどう変わったのか、プレゼント資料に詳しくまとめました!
下記からお気軽にお問い合わせください。
9.担当者が実際に対応するべきポイントは?
⑴文書・フォーマットで必要なポイント
管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。
⑵社内で必要なポイント
まずはJIS規格がいつ改訂されるのかを認識する必要があります。
ISMSの担当者は、情報収集を行いましょう。
現時点で明確な情報が出ていませんので、定期的に規格改訂についてチェックしましょう。この記事でも最新情報へ更新しますので、ぜひブックマークしてみてください。
規格改訂時期が確認できれば、次は、認証機関からの情報を収集しましょう。
理由として、規格が改訂されると各組織のルールが変わることと同じように審査する機関のルールも同様に変更になる為です。
10.最新版の規格はどこで手に入れられる?
解説本、ガイドブック等が非公式で出版されています。
公式のものは、一般財団法人日本規格協会の書籍販売サイトから購入いただけますので
気になる方はチェックしてみてください。
日本規格協会グループウェブサイト(外部サイト)
まとめ
2022年10月にISO27001(ISMS)規格改訂が完了しました。
今回の改訂では管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。
改訂審査の詳細な内容については、認証機関によって違いがあるため受審する認証機関に必ず確認をとりましょう。
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
お電話受付:平日9:30〜18:30
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから -
全国どこでもzoomで対応!
気軽にご相談ください!相談予約は
こちらから
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ