お役立ち情報 ISMSの2022年度規格改訂とは

ISMSとは

ISMSとは、Information Security Management Systemの略で、組織内の情報セキュリティを管理するための仕組みを指します。

企業をはじめとする様々な組織が、情報を適切に管理し、機密を守るために考案された仕組みです。

システム上でのセキュリティ対策だけではなく、情報の取り扱いポリシーや、それに基づいた具体的な計画、その実施から運用、見直しまでを含めたマネジメント体系のことです。

ISMS認証は、国際標準化機構が発行する「ISO27001」の規格に沿ってISMSを構築し、審査機関から適合性・有効性が認められると付与されます。

規格改訂とは

社会情勢の変化や技術の進歩に伴い、新しいセキュリティリスクが発生したり、新たな対応方法が生まれることで、規格内容が更新されていきます。

「ISO27001」は2005年に制定されました。それから2013年にも改訂されています。

そして、9年ぶりである、2022年10月に改訂されました。

2013年版のISO27001では、オンプレミスで、自社で情報を管理・運営する概念が基礎とされていました。しかし、クラウドが普及し、さまざまな情報管理の在り方が増加しました。
さらに、ゼロトラストなどの新たな概念も生まれました。そうした背景から、2022年の改訂が行われました。

LRM株式会社では、ISO27001:2022で対応すべきことが全てわかるオンデマンド講座「ISMS新規格対応講座」を提供しています。新規格対応をコストを抑えて確実に対応したいという方は、ISMS新規格対応講座をぜひご検討ください。

ISO27001とISO27002について

ISO27001は、情報セキュリティに関する国際規格です。
ISO27001は、本文と附属書Aの2つで構成されています。本文には、ISMS認証取得に向けて、マネジメントシステムを運用していく上で実施すべき要求事項が記載されています。附属書Aには、リスクを管理するための具体的な管理策が記載されています。

関連する規格として、ISO27002があります。ISO27002は、ISO27001の附属書Aに記載されている管理策を実践するための手引きが記載されているガイドラインです。

2022年規格の変更点

2022年のISO27001改訂における変更点は大きく分けて3つです。

ISO規格の上位構造と整合が取られた

国際標準化機構が発行するISO規格には、品質管理マネジメントに関するISO9001や、環境管理マネジメントに関するISO14001などさまざまな種類があります。ISO規格全体の構造のルールとして、HS（Harmonized Structure）＝調和させる構造が存在します。
2022年の改訂では、HSと整合するために、本文の構造が変更されました。

規格の章立ての変更

ISO27001の附属書Aの章立てが、A.5～A.18から、5～8の以下4カテゴリに変更されました。

項目は少なくなりましたが、内容が削除されたわけではありません。13カテゴリに分かれていた管理策の内容が4カテゴリに分類されました。

管理策数の変更

ISO27001の附属書Aに記載されている管理策数が、114個から93個に変更されました。
しかし、廃止される管理策はありません。統合されるなど、構成が変更されました。

また、クラウドサービス利用のための情報セキュリティをはじめとして、情報セキュリティにおける環境変化が考慮されて、新たな管理策が11個追加されています。

規格改訂のスケジュール

これからISMS認証を取得する組織

すでにISMS認証を取得している組織

維持審査では、すべての文書が確認されないこともありますが、再認証審査では規格改訂と同様にすべての文書が確認されます。それを考慮すると、再認証審査のタイミングで2022年版に対応することで、担当者の負担を軽減することができます。

※2023/02/27付で上記赤字部分の情報が更新されています。

規格改訂で求められること

ルールの見直しから運用、確認までを行ってから、審査に臨むことが必要です。

LRM株式会社では、ISO27001:2022で対応すべきことが全てわかるオンデマンド講座「ISMS新規格対応講座」を提供しています。新規格対応をコストを抑えて確実に対応したいという方は、ISMS新規格対応講座をぜひご検討ください。