ISMS(情報セキュリティマネジメントシステム)に関する国際規格が2022年10月25日に改訂され、ISO/IEC27001:2013から【ISO/IEC27001:2022】となりました。今回の改訂は、約10年ぶりとなります。
この改訂は既にISMSを構築・運用している企業はもちろん、ISO27001や関連企画の取得を検討している企業にも影響があるものであり、さっそく現状把握や各種の対応に着手はじめている企業も多いのではないでしょうか。
そこで今回は、ISO27001の改訂の背景と変更点、移行スケジュールや改訂によって影響のある文書について解説していきます。
目次
ISO規格は、社会情勢や技術の進歩、環境の変化、新たなリスクへ対応するために定期的に改訂されます。それは、これらの発展や進歩により、新しい対策が生まれ、時代遅れにならないような規格も更新する必要があるからです。
今回は、クラウドサービスの普及と個人情報保護に対する必要性が高まったこと、そして不正アクセスやサーバ攻撃などの新たな脅威に対応するために約10年ぶりの改訂となっています。
これまでのISO27001:2013では、オンプレ環境での運用が前提だったため、クラウドサービスの普及によって新たな基準を設定する必要が出てきました。
わかりやすい大きな変更は「附属書A」における、「管理策の区分変更」と「管理策の数の変更」
管理策の区分変更
管理策の分類が変更され、以下の4テーマに集約されました。
6.人的管理策
7.物理的管理策
8.技術的管理策
管理策の数の変更
従来のISO27002の管理策では、5~18までの14の条、114の管理策で構成されていました。
新規格では、5~8の4テーマ、93の管理策に構成が変更となります。また93種中11種が新たに追加となり、新規格である93の管理策の変更内訳は以下の通りです。
名称変更された管理策:23個
統合・分岐された管理策:24個
新規追加された管理策:11個
管理策の数としては「114個→93個」と減少していますが、完全に削除される管理策は実質0となっており、統合されるなどして、何らかの形で残ることとなります。
つまり、これまでの内容は保ったまま、新しい概念を11個付け足して再整理、そして93個にまとめた感じになっています。
そのため管理策の数は減ったものの、内容は以前よりも増えていることになります。
新規格への移行期限は、【2025年10月31日】までです。
すでにISO27001を取得し、運用している組織
移行審査を受ける必要があります。審査を受ける際は、手続きに時間がかかることを考慮し、できるだけ早めに審査を受けることが望ましいです。
これから新たにISO27001を認証取得する組織
2024年4月30日までは旧ISO27001:2013での認証取得が可能でしたが、すでに期日を過ぎています。そのため、ISO27001:2022での認証取得を目指す必要があります。
2025年10月31日でISO27001:2013の認証は終了となるので、この期日までにISO27001:2022の要求事項を満たすISMSを構築・運用し、審査を受ける必要があります。
引用元:情報マネジメントシステム認定センター
「ISMS適合性評価制度 ISO/IEC 27001:2022 への対応について(更新版)」
- ISMSマニュアル
→規格本文の変更内容を反映
- 情報セキュリティ手順書
→新規管理策追加
→構成見直し
- マネジメントレビュー報告書
→考慮事項の追加
- 適用宣言書
→全面的見直し
- 内部監査チェックリスト
→変更内容を反映
→新規管理策追加
- ISMS文書一覧表
→各文書の見直し結果反映
適用宣言書の改訂
附属書Aの管理策の構成そのものが変更となるため、適用宣言書を新規格の構成に合わせて改訂する必要があります。ただし、管理策内容が大幅に変更するわけではないので、適用/適用除外が大幅に変わるというよりは、組織の運用ルールのマッピングの見直しが大部分となることが想定されます。
ルールの見直し、追加
上記で「管理策内容が大幅に変更するわけではない」と記載しましたが、規格改定に伴って新たに追加される管理策もあります。そのため、その部分については適用しているかルールの見直しを行い、不足する場合は新規ルールの追加検討や適用除外の検討を行う必要が出てきます。
新規格対応した状態での内部監査と、マネジメントレビューの実施
新規格対応を行ったら内部監査・マネジメントレビューを実施して、新規格対応した状態でPDCAサイクルを一通り完了させることも必要となります。
また、通常の監査などのように最大範囲で行う必要はありませんが、新規格によって変わった場所や確認できていない場所については必ず実施しましょう。
ここまで、ISO27001の改訂の背景から移行スケジュール、実際に影響がでてくる文書について解説しました。
ISO27001:2013は主にオンプレ環境を想定されていたものが、約10年の時を経てクラウドサービスが普及し、それに伴い新たな脅威が出てきました。この脅威のための対策が、今回の改定の内容となります。
要求事項については、こちらから購入可能です。
では、実際に今回の改定で追加された項目はどんなものがあるのでしょうか。
次回は、新しく追加された項目についてご紹介します。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。
→お問い合わせはこちらから
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。