『ISMSの規格改訂?しなくちゃならないのは分かっている、だけど、仕事が忙しくて…』多くのISMS担当者の方が抱く、偽らざる思いではないでしょうか。
しかし、2013年10月1日に発行されたISO/IEC27001:2013には、移行期間が設けられており、遅かれ早かれデッドラインは訪れます。
それでは、ISO/IEC27001:2005(JIS Q 27001:2006)を取得している企業は、実際問題として、いつまでに改訂対応を行えばよいのでしょうか?
キーワードは『2年間』
ISO/IEC27001:2013への移行期間は『2年間』とされています。
ここで述べた『2年間』とは、『ISO/IEC27001:2013発行日から2年間』であり、つまり、『2015年9月30日』までに、移行に関する作業を完了させる必要があります。
また、JIS Q 27001:2006についてもJIS Q 27001:2014へ規格が改訂されていますが、移行期間としてはISO/IEC27001:2013の発行から2年という移行期限が決められています。
JIS Q 27001:2006の発行から2年間ではないので、注意が必要です。
『新規格への移行審査』と『現在の維持審査』
多くの会社が、維持審査のタイミングで、ISO/IEC27001:2013への移行の差分を含む審査を受けることになります。ただ、会社によっては、『今は維持審査を受けるだけで精一杯なので、規格改訂に手が回らない。』『とりあえず後回しにして、今度の維持審査はISO/IEC27001:2005で受けて、移行対応はその後にする』といった対応を行う場合も存在します。
また、移行期間中の審査はISO/IEC27001:2013で受けるか、ISO/IEC27001:2005で受けるか選択することもできます。ただし、その次の維持審査が移行期間を過ぎてしまうと、特別審査などといった処置も必要となる可能性がありますので、審査機関に相談したうえで取り組み方を決めることが望ましいでしょう。
デッドラインまでに審査を受けました…では不十分!
移行期限は2015年9月30日までとされていますが、『ただ審査を受ければいい』わけではなく、『維持審査を受けて、更新を完了させる』必要があります。
審査機関によって審査のスピード感などは変わってきますので、なるべく早くに審査を受け、審査の指摘事項の対応なども、余裕を持って対応することが重要になってきます。
特に、維持審査を2015年9月・10月に控えている会社については、移行期間に注意してください。2014年秋頃にISO/IEC27001:2005で維持審査を受ける会社については、早めにISO/IEC27001:2013への対応を実施して、次回の審査計画は早めに予定を組むことをお勧めいたします。
もし規格改訂が間に合わなかったら?
万が一、移行審査が間に合わなかった場合は、どうなるのでしょうか?JIPDECの発表によると、移行期限の2015年9月30日を過ぎると、2005年版の文書が有効でなくなる旨が記載されています。
そうなると、ISMS取得などについて、公式に謳うことも出来なくなりますし、名刺やホームページなどにISMSのロゴを使用することも出来なくなります。
ただ、2005年版の規格を満たすマネジメントシステムを構築して運用しています、というアピールまでは構わない、とのことですが、果たしてそのアピールが何の役に立つかは疑問が残るところですね。
余裕を持ったスケジュールを組んで、改訂対応という厄介事を早々に片付けてしまいましょう。