ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

【最新】2022年ISO27001規格改訂に伴う変更点を徹底解説

スタッフ写真
スタッフ写真

2022年11月22日

【最新】2022年ISO27001規格改訂に伴う変更点を徹底解説

2022年10月にISO27001(ISMS)規格改訂が完了しました。
今回の規格改訂は、ISO27001のガイダンス規格とも呼ばれるISO27002がメインです。
したがって、ISO27001の大幅改訂はないですが、ISMSの運用の見直しは必須になるため注意が必要です。

1.規格改訂の背景

規格改訂とは、社会情勢や状況、環境の変化に合わせてより現状に合うようにルールの変更を行うことです。

ISO27001(ISMS)は国際規格ですので、スイスのジュネーブに本部のある国際標準化機構により定期的に会議が実施され、定められた基準の見直しが行われています。

ISO27001は情報セキュリティに関する規格ですので、
情報伝達の多様性に応じてこの見直しは進められるべきでしょうし、実際に見直しがなされています。

原則としては「5年周期」での見直しが求められていますが、実際に5年ごとに改正されたという例は少ないです。

ISO27001は国際規格として2000年に登場、その後2005年に第2版、2013年に第3版として改訂があり、今回、最新版として第4版(ISO27001:2022)が公表されました。

2.ISO27001の要求事項、現在の最新版とは?

2022年11月現在、最新版は2022年版となっています。

この2022年というのは英語で記載された原書発行年であり、この発行後に日本語への翻訳活動が行われます。
これが「JISQ27001」です。

JISQ27001というのは、ISO27001の日本語版を指します。
ISMS(ISO27001)という規格の最新版は2022年版と言えるでしょう。

3.規格改訂はいつ?

ISMS規格改訂の流れ

ISO27001の規格改訂はは2022年10月25日に完了しました。
しかしながら、本格的に新規格で運用を開始するのは2023年春頃でよいでしょう。

なぜなら、現在ISO27001の改訂が完了した後に、ISO27001の日本語訳版であるJIS規格の改訂が行われるからです。

改訂版のJIS規格は、2023年春頃に公表される見込みです。

実際に皆様が審査で参照している規格はISO27001ではなく、
日本語に翻訳されたJISQ27001というJIS規格となるため、
JISの改訂が公表された後に規格改訂の対応をするのが確実でしょう。

4.ISO27001、ISO27002、JISQ27001の関係性

前述した通り、ISO27001は国際規格であり、その日本語訳版がJISQ27001になります。
したがって、ISO27001とJISQ27001は同等と考えてよいです。

また、ISO27001(JISQ27001)の中には「附属書A」という項目があり、
附属書Aは情報セキュリティ上のリスクを軽減するための管理目的と
その目的を達成するための管理策で構成されています。

この附属書Aの管理策についての解説や具体例が記載されたものが「ISO27002」になります。
ISO27002はISO27001の管理策を運用する上で欠かせない規格となるため
ISO27001のガイダンス規格とも言われます。

ISO27001、ISO27002、JISQ27001の関係性の図は以下をご覧ください。

ISO27001、ISO27002、JISQ27001の関係性

5.いつまでに対応が必要?

認定機関の1つであるISMS‐ACは

ISO27001:2022の移行期間は2022年10月31日を起点とし、それから3年間(2025年10月31日まで)であると発表しました。

ISMS-ACから認定された認証機関で審査を受けている組織はこの移行期間が適用されます。

 

ISMS-ACではない認定機関で認定された認証機関で審査を受けている組織は

まだ正式な情報が出ていませんが、ISMS-ACが公表した移行期間と

大きな差はないと考えて良いでしょう。

この移行期間で行われる審査の中で改訂審査を受審し、規格改訂作業完了となります。
改訂審査については認証機関の準備が整い次第、通知が来ます。
改訂審査は通常の維持審査や更新審査とまとめて実施されるケースが多いです。

とはいっても、まだどの認証機関でも審査についての詳細な周知がないため
今はまだ認証機関からの連絡を待つなり、慌てず、情報収集を行いましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

6.ISO27001新規格発効前に対応は可能?

今回の規格改訂はISO27002(ISO27001の附属書Aの項目)の改訂がメインとなっています。

ISO27002の改訂はすでに完了しており、対訳版も公表されているため、
その内容を基に改訂の対応をすることは可能です。

7.新規格発効前に対応するメリット・デメリット

ISO27001:2022が発表されましたが、

2022年10月31日から2023年10月31日までは

JIS Q 27001:2014(ISO/IEC 27001:2013)を認証基準とした審査を受審できます。

 

しかしながら、新規取得を検討している企業にとっては、
これから2013年度版の規格に対応するより、改訂版のISO27002(ISO27001の附属書Aの項目)を参考にしながら新規構築したほうが工数は少ないでしょう。

ただ、既にISMSを取得、運用している企業は
前述した通り、日本語で改訂内容が公表された後、実際のISMSの運用に反映していただくのが、1番工数が少なく改訂対応が出来るでしょう。

8.規格の変更点は?

ISO27001:2013の附属書Aには114項目からなる管理策があります。
この管理策を実施することで情報セキュリティリスクが軽減されるという仕組みです。

これらの管理策の解説や具体例が記載されたISO27002の改訂は先に完了しており、
内容が大幅に変更されています。
ISO27001の改訂自体はこの管理策の変更に伴う附属書Aの改訂です。

具体的な管理策の変更点は

114項目の管理策が
・58項目 更新
・24項目 統合
・11項目 新規
で全93項目に削減されています。

9.担当者が実際に対応するべきポイントは?

⑴文書・フォーマットで必要なポイント

管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。

⑵社内で必要なポイント
まずはJIS規格がいつ改訂されるのかを認識する必要があります。
ISMSの担当者は、情報収集を行いましょう。
現時点で明確な情報が出ていませんので、定期的に規格改訂についてチェックしましょう。この記事でも最新情報へ更新しますので、ぜひブックマークしてみてください。

規格改訂時期が確認できれば、次は、認証機関からの情報を収集しましょう。
理由として、規格が改訂されると各組織のルールが変わることと同じように審査する機関のルールも同様に変更になる為です。

10.最新版の規格はどこで手に入れられる?

解説本、ガイドブック等が非公式で出版されています。

公式のものは、一般財団法人日本規格協会の書籍販売サイトから購入いただけますので
気になる方はチェックしてみてください。
日本規格協会グループウェブサイト(外部サイト)

まとめ

2022年10月にISO27001(ISMS)規格改訂が完了しました。

今回の改訂では管理策が変更されるため、それに伴う適用宣言書の見直しやセキュリティ管理規程の見直しが必須となります。
今はまだ情報収集に努め、認証機関の動向をうかがいながら、おそらく2023年春頃に出る日本語訳を慌てず待ちましょう。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。