ISMSの2022年度規格改訂とは
ISMSとは
ISMSとは、Information Security Management Systemの略で、組織内の情報セキュリティを管理するための仕組みを指します。
企業をはじめとする様々な組織が、情報を適切に管理し、機密を守るために考案された仕組みです。
システム上でのセキュリティ対策だけではなく、情報の取り扱いポリシーや、それに基づいた具体的な計画、その実施から運用、見直しまでを含めたマネジメント体系のことです。
ISMS認証は、国際標準化機構が発行する「ISO27001」の規格に沿ってISMSを構築し、審査機関から適合性・有効性が認められると付与されます。
規格改訂とは
社会情勢の変化や技術の進歩に伴い、新しいセキュリティリスクが発生したり、新たな対応方法が生まれることで、規格内容が更新されていきます。
「ISO27001」は2005年に制定されました。それから2013年にも改訂されています。
そして、9年ぶりである、2022年10月に改訂されました。
2013年版のISO27001では、オンプレミスで、自社で情報を管理・運営する概念が基礎とされていました。しかし、クラウドが普及し、さまざまな情報管理の在り方が増加しました。
さらに、ゼロトラストなどの新たな概念も生まれました。そうした背景から、2022年の改訂が行われました。
ISO27001とISO27002について
ISO27001は、情報セキュリティに関する国際規格です。
ISO27001は、本文と附属書Aの2つで構成されています。本文には、ISMS認証取得に向けて、マネジメントシステムを運用していく上で実施すべき要求事項が記載されています。附属書Aには、リスクを管理するための具体的な管理策が記載されています。
関連する規格として、ISO27002があります。ISO27002は、ISO27001の附属書Aに記載されている管理策を実践するための手引きが記載されているガイドラインです。
2022年規格の変更点
2022年のISO27001改訂における変更点は大きく分けて3つです。
1. ISO規格の上位構造と整合が取られた
国際標準化機構が発行するISO規格には、品質管理マネジメントに関するISO9001や、環境管理マネジメントに関するISO14001などさまざまな種類があります。ISO規格全体の構造のルールとして、HS(Harmonized Structure)=調和させる構造が存在します。
2022年の改訂では、HSと整合するために、本文の構造が変更されました。
2. 規格の章立ての変更
ISO27001の附属書Aの章立てが、A.5~A.18から、5~8の以下4カテゴリに変更されました。
項目は少なくなりましたが、内容が削除されたわけではありません。13カテゴリに分かれていた管理策の内容が4カテゴリに分類されました。
- 5 組織的管理策
- 6 人的管理策
- 7 物理的管理策
- 8 技術的管理策
3. 管理策数の変更
ISO27001の附属書Aに記載されている管理策数が、114個から93個に変更されました。
しかし、廃止される管理策はありません。統合されるなど、構成が変更されました。
また、クラウドサービス利用のための情報セキュリティをはじめとして、情報セキュリティにおける環境変化が考慮されて、新たな管理策が11個追加されています。
規格改訂のスケジュール
これからISMS認証を取得する組織は、2023年11月以降から、2022年版での対応が求められます。
すでにISMS認証を取得している組織は、2025年までに2022年版への対応を求められます。
これからISMS認証を取得する組織
2024年4月30日までは、2013年版での受審も可能です。
しかし、新規取得における2022年版対応の猶予期間は18ヶ月です。
維持審査の移行期間と比べると、半分ほどの期間に設定されています。旧規格で認証取得した場合でも、新規格での審査を受ける必要があることを考慮すると、新規格で体制構築をする方が手戻りが少ないと言えます。
※2023/02/27付で上記赤字部分の情報が更新されています。
すでにISMS認証を取得している組織
再認証審査は、2024年4月30日までは2013年版での受審が可能です。2024年5月1日以降は、2022年版での再認証審査のみになります。
また、維持審査は、2025年10月31日まで、2013年版での受審が可能です。ただし、2013年版の認証は、2025年10月31日をもって失効します。
2022年版に対応する際は、審査ですべての文書が確認されます。
維持審査では、すべての文書が確認されないこともありますが、再認証審査では規格改訂と同様にすべての文書が確認されます。それを考慮すると、再認証審査のタイミングで2022年版に対応することで、担当者の負担を軽減することができます。
※2023/02/27付で上記赤字部分の情報が更新されています。
規格改訂で求められること
ルールの見直しから運用、確認までを行ってから、審査に臨むことが必要です。
ルール見直し
- 管理策の検討
- マニュアル/規定類の修正
- 文書、記録類の修正
- 適用宣言書の修正
- 各種フォーマットの見直し
運用
- 修正し、新規格へ対応したマニュアル類での運用
確認
- 修正したマニュアルおよび、文書・記録類の運用状況を確認する内部監査の実施
- マネジメントレビューの実施
お気軽にご相談ください
- サービス資料請求
- ダウンロード(無料)
- お問い合わせ
- お問い合わせフォーム