株式会社Runway labo.(ランウェイラボ)

2024年6月12日

【2022年度版規格改訂】ISMS(ISO27001)改訂の背景と概要を解説!

ISMS(情報セキュリティマネジメントシステム)に関する国際規格が2022年10月25日に改訂され、ISO/IEC27001:2013から【ISO/IEC27001:2022】となりました。今回の改訂は、約10年ぶりとなります。

この改訂は既にISMSを構築・運用している企業はもちろん、ISO27001や関連企画の取得を検討している企業にも影響があるものであり、さっそく現状把握や各種の対応に着手はじめている企業も多いのではないでしょうか。

そこで今回は、ISO27001の改訂の背景と変更点、移行スケジュールや改訂によって影響のある文書について解説していきます。

目次

ISO27001の改訂の背景

ISO規格は、社会情勢や技術の進歩、環境の変化、新たなリスクへ対応するために定期的に改訂されます。それは、これらの発展や進歩により、新しい対策が生まれ、時代遅れにならないような規格も更新する必要があるからです。

今回は、クラウドサービスの普及と個人情報保護に対する必要性が高まったこと、そして不正アクセスやサーバ攻撃などの新たな脅威に対応するために約10年ぶりの改訂となっています。

これまでのISO27001:2013では、オンプレ環境での運用が前提だったため、クラウドサービスの普及によって新たな基準を設定する必要が出てきました。

改訂の変更点

わかりやすい大きな変更は「附属書A」における、「管理策の区分変更」と「管理策の数の変更

管理策の区分変更

管理策の分類が変更され、以下の4テーマに集約されました。

5.組織的管理策

6.人的管理策

7.物理的管理策

8.技術的管理策

管理策の数の変更

従来のISO27002の管理策では、5~18までの14の条、114の管理策で構成されていました。

新規格では、5~8の4テーマ93の管理策に構成が変更となります。また93種中11種が新たに追加となり、新規格である93の管理策の変更内訳は以下の通りです。

据え置かれた管理策:35個

名称変更された管理策:23個

統合・分岐された管理策:24個

新規追加された管理策:11個

管理策の数としては「114個→93個」と減少していますが、完全に削除される管理策は実質0となっており、統合されるなどして、何らかの形で残ることとなります。

つまり、これまでの内容は保ったまま、新しい概念を11個付け足して再整理、そして93個にまとめた感じになっています。
そのため管理策の数は減ったものの、内容は以前よりも増えていることになります。

移行スケジュール

新規格への移行期限は、【2025年10月31日】までです。

下線付きテキスト

すでにISO27001を取得し、運用している組織
移行審査を受ける必要があります。審査を受ける際は、手続きに時間がかかることを考慮し、できるだけ早めに審査を受けることが望ましいです。

下線付きテキスト

これから新たにISO27001を認証取得する組織
2024年4月30日までは旧ISO27001:2013での認証取得が可能でしたが、すでに期日を過ぎています。そのため、ISO27001:2022での認証取得を目指す必要があります。

2025年10月31日でISO27001:2013の認証は終了となるので、この期日までにISO27001:2022の要求事項を満たすISMSを構築・運用し、審査を受ける必要があります。


引用元:情報マネジメントシステム認定センター
    ISMS適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版)

影響のある文書
  • ISMSマニュアル
    →規格本文の変更内容を反映
  • 情報セキュリティ手順書
    →新規管理策追加
    →構成見直し
  • マネジメントレビュー報告書
    →考慮事項の追加
  • 適用宣言書
    →全面的見直し
  • 内部監査チェックリスト
    →変更内容を反映
    →新規管理策追加
  • ISMS文書一覧表
    →各文書の見直し結果反映

適用宣言書の改訂

附属書Aの管理策の構成そのものが変更となるため、適用宣言書を新規格の構成に合わせて改訂する必要があります。ただし、管理策内容が大幅に変更するわけではないので、適用/適用除外が大幅に変わるというよりは、組織の運用ルールのマッピングの見直しが大部分となることが想定されます。

ルールの見直し、追加

上記で「管理策内容が大幅に変更するわけではない」と記載しましたが、規格改定に伴って新たに追加される管理策もあります。そのため、その部分については適用しているかルールの見直しを行い、不足する場合は新規ルールの追加検討や適用除外の検討を行う必要が出てきます。

新規格対応した状態での内部監査と、マネジメントレビューの実施

新規格対応を行ったら内部監査・マネジメントレビューを実施して、新規格対応した状態でPDCAサイクルを一通り完了させることも必要となります。

また、通常の監査などのように最大範囲で行う必要はありませんが、新規格によって変わった場所や確認できていない場所については必ず実施しましょう。

まとめ

ここまで、ISO27001の改訂の背景から移行スケジュール、実際に影響がでてくる文書について解説しました。

ISO27001:2013は主にオンプレ環境を想定されていたものが、約10年の時を経てクラウドサービスが普及し、それに伴い新たな脅威が出てきました。この脅威のための対策が、今回の改定の内容となります。
要求事項については、こちらから購入可能です。

では、実際に今回の改定で追加された項目はどんなものがあるのでしょうか。
次回は、新しく追加された項目についてご紹介します。

株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。

→お問い合わせはこちらから


 この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。

はじめての方へ

私たちRunway labo.についてのご紹介と、代表プロフィールを掲載しています。

MORE

サービス紹介

Runway labo.で提供している各種サービスやご利用のながれをご紹介します。

MORE

会社概要

弊社の会社概要はこちらよりご確認ください。

MORE

無料相談受付中
まずは気軽にご相談ください

ご不明な点やご不安に思っていること、ぜひ気軽にご相談ください。
お客さまの状況に応じて、プランをご提案させていただきます。

ウェブでのお問い合わせ

下記のフォームよりご連絡ください。