ISO27001の改訂が2022年10月に行われました。
ISOの規格改定は社会情勢や環境の変化に応じて行われるルール変更です。
ISO27001は情報セキュリティの規格であり、新規管理策の追加などが行われました。
この記事では最新版のISO27001の内容について詳しく解説します。
また、ISMSの取得をお考えの方へ、LRMではISMSの取得までにやることをまとめたTodoリストを無料で配布しています。ぜひご活用ください。
ISO27001最新版の規格改訂の経緯
2022年2月に、ISMSの規格である ISO/IEC 27001の関連規格である「ISO/IEC 27002」が、2022年10月にISMS規格の「ISO/IEC 27001」が改訂されました。
ISO27002はISO/IEC 27001附属書Aの管理策の導入・運用を手助けするためのガイダンスであり、両者は整合が取れていることが前提となります。
そこでまず、ISO/IEC 27002について管理策の構成や内容に大幅な変更を行い、ISO/IEC 27001側の改訂を2022年10月に実施する流れとなりました。
ちなみに、ISO27001の日本語版規格であるJIS Q 27001は2023年9月に改訂となりました。
ISO27001最新版の規格の変更点
ISO27001最新版の規格の変更点をまとめると以下のようになります。
規格構成の変更
まずISO27001の関連規格であるISO27002の規格の変更から解説します。
従来のISO27002の管理策では、5~18までの14の条、114の管理策で構成されていました。
これが新規格では、5~8の4のテーマ、93の管理策へと構成が変わります。
新規格である93の管理策の変更の内訳は以下の通りです。
据え置かれた管理策・・・35 個
名称変更された管理策・・・23 個
統合・分岐された管理策・・・24 個
新規追加された管理策・・・11 個
また管理策の分類が変更されました。
具体的には以下の4テーマに集約されます。
5.組織的管理策
6.人的管理策
7.物理的管理策
8.技術的管理策
管理策数は114から93へと減少していますが、完全に削除される管理策は実は0個であり、統合されるなどしてすべての管理策が何らかの形で残ることとなります。
つまり、減った分のルールは無くなったのではなく、マッピング箇所が変わった、ということです。
ISO27001最新版の新規管理策の追加
ISO27002の改訂に併せて、ISO27001最新版でも新規管理策の追加がなされました。
単純な管理策の数としては21個の減少ということになるのですが、その一方で、11の新たな管理策の追加もされています。
具体的には以下の11の管理策です。
5.7 脅威インテリジェンス
5.23 クラウドサービス利用のための情報セキュリティ
5.30 ビジネス継続のための ICT の備え
7.4 物理的セキュリティ監視
8.9 設定管理
8.10 情報の削除
8.11 データマスキング
8.12 データ漏洩の防止
8.16 監視活動
8.23 ウェブフィルタリング
8.28 セキュアコーディング
ISO27001最新版の用語定義の考え方の変更
これまでISMS関連規格の用語及び定義は、用語集でもあるISO/IEC 27000に集約されていました。
ただ今回のISO/IEC 27002:2022より新たに「TermOwnership」という考え方が登場し、特定の規格に強い結びつきを持つ用語などについては各規格で用語の定義を行う事となりました。
そのため、ISO/IEC 27002:2022でも一部の用語について改めて用語や定義が記載されています。
ISO/IEC 27002:2022がTermOwnershipを持つ例
Access Control
Attack
Information security incident など
組織の取り組みや運用自体に大きく影響はしませんが、規格理解の上で役立つものですので、頭の片隅に置いておいていただけると幸いです。
ISO27001最新版の規格改訂に伴う対応事項
ISO27001最新版の規格改訂に伴う対応事項は以下の通りです。
適用宣言書の改訂
附属書Aの管理策の構成そのものが変更になるため、そもそも適用宣言書を新規格の構成に合わせて改訂する必要があります。
ただし、管理策の趣旨が大幅に変更になるわけではないため、適用/適用除外が大幅に変わるというよりは、組織の運用ルールとのマッピングの見直しが大部分となることが想定されます。
ルールの見直し、追加
先ほど、管理策の趣旨が大幅に変更になるわけではないとお伝えしましたが、規格改訂に伴い新たに追加される管理策もあるため、その部分については適用できているかの見直し対応が必要です。
ルールの見直しを行い、不足する場合には新規ルールの追加検討や、適用除外の検討を行うなどが具体的な対応です(適用除外を行う場合は、相応の理由付けが必要です)。
新規格対応した状態での内部監査、マネジメントレビューの実施
新規格対応を行ったら、内部監査やマネジメントレビューを実施し、新規格対応した状態でのPDCAサイクルを一通り完了させることも必要です。
通常時の内部監査やマネジメントレビューのような最大範囲での実施の必要はありませんが、規格改定に伴って変更になった箇所・確認がまだの箇所については、必ず実施してみましょう。
ISO27001の最新版への移行期限
ISMS認証では、規格改訂発生時には、一定期間内に新規格に対応した状態で審査を受ける必要があります。
今回の新規格対応の移行期間は、継続審査の場合は2022年10月31日から以降3年間(2025年10月31日)までであると、認定機関のISMS-ACから発表されました。
したがって、ISMS認証を取得済みの企業は、2025年10月31日までに移行審査を通過する必要があります。ただし、審査後の手続等を考えると、夏ごろには審査を受けておくことが望ましいと考えられます。
また、これからISMS認証を取得する企業、再認証審査については、2024年4月30日審査開始分までは旧版ISO27001:2013での受審も可能です。
新規取得の場合、2024年4月30日までに旧版ISO27001:2013で認証取得しても、結局25年10月31日までに移行を行う必要があるため、はじめから最新版ISO27001:2022での認証の取得を目指すのが無難だと思われます。
これからISMS認証取得をお考えの方へ、LRMではISMS認証取得コンサルティングを実施しています。まずはお気軽にお問い合わせください。
まとめ
今回はISMSの規格本体であるISO27001の改訂について解説しました。
新規管理策の追加などが盛り込まれていますが、2025年10月31日まで移行期間が設けられていますので、今すぐ対応しなければならないものではありません。
しかし、これからISMS認証の取得をめざすのであれば、最新版のISO27001:2022での取得を目指す方が賢明といえるでしょう。
