ISO/IEC27001が改訂されました
ISO/IEC27001:2022の発行
2022年10月25日にISO/IEC27001:2013(以下、「2013年版」という。)の改訂版となる、ISO/IEC27001:2022(以下、「改訂版」という。)が発行されました。
タイトルは「情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」です。2013年版の「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」から変更され、サイバーセキュリティ、プライバシー保護が追加されています。
※2023年1月現在、日本の審査の基準であるJIS規格はまだ発行されていません。当社で複数の関係機関に確認したところ、JIS規格の発行時期は、2023年夏頃が有力です。
< いつまでに改訂版に対応しなければならないか >
いつまでに改訂版に
対応しなければならないか
2013年版から改訂版への移行期間は、3年です。2025年10月31日(JIS規格の改訂版発行日ではなく、ISO規格の改訂版発行日から、その発行日を含む月の末日を起点とした3年後)までに移行を完了させなければなりません。
移行完了までの受審期限は、審査機関によって異なりますので各審査機関にご確認ください。
※ISMS-AC:ISO/IEC 27001:2022 発行のお知らせ(https://isms.jp/doc/isoiec27001_2022.pdf)より編集
< 新規取得の場合、2013年版で審査を受けられるのはいつまで >
新規取得の場合、2013年版で
審査を受けられるのはいつまで
2013年版で新規審査を受けられる期限は、1年です。2023年10月31日(起点日は、移行期間と同様にISO規格の改訂版発行日から、その発行日を含む月の末日)までに初回審査を受ける必要があります。受審期限は、審査機関によって異なりますので各審査機関にご確認ください。
なお、2013年版で新規取得した場合、2025年10月31日までに改訂版で審査を受け、移行を完了する必要があります。
改訂版のポイント
1つ目のポイントは、ISO/IEC 27002の改訂版に合わせた附属書Aの構成の見直しです。ISO/IEC 27002:2022が2022年2月に発行されています。附属書AはISO/IEC 27002と同じ項番で構成されているため、改訂版ではISO/IEC 27002:2022に合わせて附属書Aが変更されました。
2013年版では、箇条5~18の14分類の下に、管理目的が35、管理策が114ありましたが、改訂版では管理目的が廃止され、箇条5~8の4分類の下に管理策が93となりました。
改訂版では、114あった管理策が93に減りましたが、廃止された管理策はありません。内訳は、管理策を継承し項番が変わったもの(1:1)が58、複数の管理策が1つにまとめられたもの(N:1)が24、新規に追加された管理策が11です。
2つ目は、要求事項本文(箇条4~10)の見直しです。MSS(Management System Standard)共通テキストの改訂が取り込まれ、ISO/IEC27001固有の変更と正誤票の修正も反映されました。附属書Aの変更に比べると、マネジメントシステムの運用に対する影響は小さいです。
改訂のポイントをまとめた資料「ISO/IEC 27001規格改訂の対応」を作成しました。資料をご希望の方は、お問い合わせページから、「ISO/IEC 27001規格改訂資料希望」と明記の上、お問い合わせください。恐縮ですが、同業者様、士業の方、個人の方のお申し込みはご遠慮ください。
具体的な実施事項
■附属書A関連文書・様式の修正
附属書Aに関連する「適用宣言書」や「情報セキュリティに関する規程」の内容を修正します。
2013年版の管理策と改訂版の管理策の関係を対比し、管理策番号の変更や複数の管理策を1つにまとめるなど、既存のルール全体を見直します。さらに、新規追加になる管理策の採否を決め、採用する管理策のルールを定めます。また、管理策番号を記載している他の文書や記録様式の修正も必要です。■要求事項本文への対応
要求事項本文を文書化したマネジメントシステムの運用にかかわる文書を修正します。「情報セキュリティ目的に関する記録」や「マネジメントレビューに関する記録」など、本文のルール変更に合わせ、記録様式の見直しも必要です。
■内部監査員の力量を満たす
内部監査員の力量を高める必要があります。そのための研修の計画や準備、実施が必要です。
当社では、内部監査員向けの研修もご用意しておりますので、お気軽にお問い合わせください。■改訂版に対応した運用を行い、移行審査を受ける
各種文書・記録様式を改訂するだけでは移行は完了しません。改訂した文書・記録様式を用いてISMSを運用し、移行審査を受けなければならず、運用の実績がないと移行審査を受けられません。
フルコンサルティング
ISMS認証の新規取得を目指す事業者様も、こちらをご検討ください。
コンサルティング
2013年版に準拠したISMS文書を改訂版に対応した文書に見直されたい事業者様におすすめです。