【2022年10月25日発行】ISO/IEC27001の改訂内容とは？

2022年10月25日（スイス時間）に、情報セキュリティに関する国際規格であるISO /IEC27001:2013の改訂版であるISO/IEC27001:2022が発行されました。約10年ぶりの改訂となります。今回の改訂は、2022年2月に改訂されたISO27002の改訂内容との整合性を合わせる意味合いがあります。

本改訂は、すでにISMS （情報セキュリティマネジメントシステム）を構築・運用している企業様、そしてISO27001 やその関連規格の取得を検討されている企業様にも影響があります。本稿では、その改訂内容概要の一部や移行スケジュール、移行審査について紹介していきたいと思います。

ISO27001の改訂内容とは？

ISO/IEC 27001:2013からの変更点となる内容や改訂された時期などの情報について解説していきます。

ISO27001の改訂は2022年10月25日

2022年秋頃と予想されていた通り、2022年10月25日（スイス時間）にISO27001は改訂されました。
日本規格協会グループにて要求事項を購入できます。邦訳版も出ているので、新規取得や改訂対応が必要な企業様は購入をご検討ください。

改訂されるポイント

ISO/IEC 27001:2013から最新版となったISO/IEC27001:2022の改訂による主な変更点は、以下のようになります。

• 6.1.3c)　管理目的が削除され、「管理策」が「情報セキュリティ管理策」へと変更
• 6.1.3d)　潜在的曖昧さを取り除く修正
• 附属書A

本文の表現が変更になった部分はあるものの、実質的な変更はなく、改訂内容の大半は「附属書A」の内容となります。「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスク対応 の実施に必要な管理策を定めたものです。

管理策（附属書A）における変更点をまとめました。

• 114の管理策が93に削減
• 58の管理策が更新
• 24の管理策が統合
• 11の新しい管理策が導入
• 管理策のカテゴリーが14分類から4分類に変更

今回の改訂により、管理策の数が114個→93個に減少しています。
ただし、内容の近い管理策が統合されるなどして減少したものの、行うべき管理策の数が単純に減少したというわけではありません。

管理策のカテゴリーは以下のように変更され、「組織的」管理策、「人的」管理策、「物理的」管理策、「技術的」管理策の4つに整理されました。

ISO27001の改訂内容をもう少し詳しく知りたい方へ

2022年10月に行われたISO27001改訂は、2025年10月末までに審査を終えなければいけません。本改訂は主に管理策の変更が行われているため、改訂内容に合わせた管理策を策定する必要があります。

ISOプロでは、改訂前後の管理策の対照表などを分かりやすくまとめています。ぜひ対照表をご活用いただき、改訂対応にお役立てください。無料でお渡しできますので、ぜひ下記から資料請求ください。

ISO27001:2022における新規の管理策

ISO/IEC27001:2022では、以下の11個の管理策が追加されました。

組織的管理策

• 5.7：脅威インテリジェンス
• 5.23：クラウドサービスを利用における情報セキュリティ
• 5.30：事業継続のためのICTの備え

物理的管理策

• 7.4：物理的セキュリティの監視

技術的管理策

• 8.9：構成管理
• 8.10：情報の削除
• 8.11：データマスキング
• 8.12：データ漏えい防止
• 8.16：監視活動
• 8.23：ウェブ・フィルタリング
• 8.28：セキュリティに配慮したコーディング

クラウドサービスやICTといったIT用語についての管理策が追加されるなど、最新のITサービスに対応するための追加であると考えられます。

そもそもISO27001とは？

ISO27001とは、ISO（International Standard for Organization）が発行する国際規格のひとつであり、情報セキュリティに関する規格です。

機密性 ：アクセスの権限を付与された個人のみが情報にアクセスできる状態
完全性 ：情報が最新かつ正確な状態で保護・管理されている状態
可用性：アクセス権限を付与された個人が、利用したいときにアクセスできる状態

上記の3要素を重視し、情報の漏洩、サイバー攻撃などのさまざまな情報リスクから、組織の保持する情報資産を管理する体制を構築・運用していくフレームワークと言えます。

主な取得企業は、IT系企業、人材派遣業、金融業などの重要な情報資産を扱うことが多い業種となっていますが、情報セキュリティは近年、重要視されているために取得企業数は増加傾向にあります。

ISO27001・ISO27002・JIQ27001の違い

IS27001とよく似た名前の規格であるISO27002・JIQ27001についての概要と、ISO27001との違いについて解説します。

ISO27002とは、ISO27001の管理策を実践するために、情報セキュリティマネジメントシステムの具体的な基準をまとめた規格です。ISO27001の管理策は今回の改訂で93個になりましたが、そのすべてを運用することは難しいため、実施方法についてのガイドラインとしての役割を担っています。

そのため、ISO27001とISO27002は、異なる規格として存在しているものの、ISO27001の管理策を実施するための手引きとしてISO27002を活用されることを想定された規格となっています。そのため、ISO27002だけではISMS認証 を取得できません。

また、JIQ27001とは、国際規格であるISO27001を日本語に訳したものになっています。そのため、ほぼ同じ内容になっているため、大きな違いはありません。

ISO27001の改訂はどのように進んだの？

2022年7月28日に、FDIS（Final Draft International Standards）の投票が始まりました。FDISとは、最終国際規格案のことで、規格案を承認するか否かの最終投票が行われる段階にあることを意味しています。最終投票は8週間の期間が設けられており、今回の改訂では、9月21日に投票が締め切られました。
投票での承認後、2022年10月25日国際規格として発行されました。

ISO27001の改訂による移行スケジュール

ISO/IEC 27001:2013を取得されている企業様においては、ISO/IEC 27001:2022への移行が必要となります。移行期間は発行日の月末から3年間で、期限は2025年10月31日となっています。

そのため、移行期限までにISO/IEC 27001:2022の要求事項への対応を実施し、移行審査を受けなければなりません。
また、これからISO27001の取得審査を受ける予定の企業様は、2023年10月31日までに初回審査を受けることで、ISO/IEC27001:2013の取得が可能となっています。一方、ISO/IEC 27001:2022を取得したい場合、いつから初回審査ができるかは審査機関によって異なるため、審査機関に相談してください。

ISO27001の改訂における移行審査

ISO/IEC 27001:2013を取得されている企業様がISO/IEC 27001:2022に移行するには、移行審査を受ける必要があります。基本的に定期審査（サーベイランス審査）や更新審査（再認証審査）と同時実施できますが、移行単独審査も受けられます。また、移行審査は、遠隔で受けることも可能です。

ただし、定期審査（サーベイランス審査）や移行単独審査の場合には、従来の審査に比べ、少なくとも0.5人日が追加されます。

移行審査がいつから可能になるのかは審査機関によって異なりますが、審査機関から認証組織へ移行に関する情報が連絡されることになっています。

ISO27001の改訂により気を付けるべきこと

すでにISMSを構築・運用している企業様においては、新たに追加された管理策（11個）への対応是非を検討して行く必要があります。

管理策だけでなく、マニュアルの改訂作業や適用宣言書においても対応が必要になってくるでしょう。既存ルールの構成を変更するのか、新規ルールを作成していくのかなどを確認してください。

まとめ

ISO/IEC27001:2013が約10年ぶりに改訂され、移行スケジュールも明らかになりました。

改訂は、時代のニーズや変化に適応した規格であり続けるために行われます。だからこそ、ISOは「過去の産物」ではなく、今なおも取得され続けているといえます。
情報セキュリティの重要性がより高まってきた今、新たに追加された管理策などを用いて、リスクへの対策を進めていきましょう。
新規認証取得、継続に関わらず、改訂の内容で構築する必要が出てきますので、時間に余裕をもって進めましょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。