【2023最新版】ISO/IEC27001(ISMS)の改訂内容とは?
- ISO27001は2022年10月25日に改訂された
- 改訂により、管理策の数が114個→93個に減少
- 2013版は、2025年10月31日で失効。それまでに審査を受ける必要がある
2022年10月25日(スイス時間)に、情報セキュリティに関する国際規格であるISO /IEC27001:2013の改訂版であるISO/IEC27001:2022が発行されました。約10年ぶりの改訂となります。今回の改訂は、2022年2月に改訂されたISO27002の改訂内容との整合性を合わせる意味合いがあります。
本改訂は、すでにISMS (情報セキュリティマネジメントシステム)を構築・運用している企業はもちろん、ISO27001 や関連規格の取得を検討されている企業にも影響があるものです。
そこで本稿では、その改訂内容概要の一部や移行スケジュール、移行審査、移行後の対応における注意点について紹介していきたいと思います。
目次
そもそもISO27001とは?
ISO27001とは、ISO(International Standard for Organization)が発行する国際規格のひとつであり、情報セキュリティに関する規格です。
企業が保有する情報資産を、不正アクセスやウイルス攻撃、システム障害といった情報セキュリティリスクから保護しつつ、有効に活用するための管理体制を構築・運用していくことを目的としています。
ISO27001を取得するには、ISO27001の要求事項を満たすISMSを構築し、運用することが求められます。その後、認証 機関の審査員による審査を受けることが必要です。
ISMSとの関係性
ISMS(Information Security Management System)とは、情報資産を守るための情報セキュリティマネジメントシステムのことです。
情報セキュリティがただ強固なだけでなく、情報を有効に活用できるISMSを構築するには、以下の情報セキュリティにおける重要な3要素をバランスよく高めることが必要です。
- 機密性:アクセスの権限を付与された個人のみが情報にアクセスできる状態
- 完全性:情報が最新かつ正確な状態で保護・管理されている状態
- 可用性:アクセス権限を付与された個人が、利用したいときにアクセスできる状態
そして、ISO27001の要求事項に沿ってISMSを構築し、運用していくことで3要素を高められるようになっています。つまり、ISO27001はこれら3要素を高め、情報資産を管理する体制を構築・運用していくフレームワークといえるでしょう。
ISO27001が改訂された背景
ISO規格は、情勢の変化に併せて定期的に改訂されます。その理由は、社会的なニーズの変化や技術の進歩などによって新しい対策が生まれるため、時代遅れにならないよう規格も更新する必要があるからです。
今回ISO27001が改訂された背景には、クラウドサービスの普及と個人情報保護に対する必要性が高まったことが挙げられます。
これまでのISO27001:2013ではオンプレ環境で運用されることが前提であったため、クラウドサービスの普及によって、新たな基準を設定する必要が出てきたのです。
2022年7月28日に、FDIS(Final Draft International Standards)の投票が始まりました。FDISとは、最終国際規格案のことで、規格案を承認するか否かの最終投票が行われる段階にあることを意味しています。
最終投票は8週間の期間が設けられており、今回の改訂では、9月21日に投票が締め切られました。投票での承認後、2022年10月25日に国際規格として発行されました。
ISO27001の改訂内容とは
ISO/IEC27001:2013からの変更点となる内容や改訂された時期などの情報について解説していきます。
ISO27001の改訂は2022年10月25日
2022年秋頃と予想されていた通り、2022年10月25日(スイス時間)にISO27001は改訂されました。
日本規格協会グループにて要求事項を購入できます。邦訳版も出ています。
また2023年9月20日に、JIS版が発行されました。
今後の新規取得や維持・更新はこちらをベースに審査されることになっていくため、ご検討中の企業様は購入をご検討ください。
改訂されたポイント
ISO/IEC27001:2013からISO/IEC27001:2022の改訂による主な変更点は、以下の3点です。
- 6.1.3c)管理目的が削除され、「管理策」が「情報セキュリティ管理策」へと変更
- 6.1.3d)潜在的曖昧さを取り除く修正
- 附属書A
本文の表現が変更になった部分はあるものの、実質的な変更はなく、改訂内容の大半は「附属書A」の内容となります。「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスク対応 の実施に必要な管理策を定めたものです。
管理策(附属書A)における変更点をまとめました。
- 114の管理策が93に削減
- 58の管理策が更新
- 24の管理策が統合
- 11の新しい管理策が導入
- 管理策のカテゴリーが14分類から4分類に変更
今回の改訂により、管理策の数が114個→93個に減少しています。
ただし、内容の近い管理策が統合されるなどして減少したものの、行うべき管理策の数が単純に減少したというわけではありません。
2013年版の管理策のカテゴリーと管理策の数を表にしてまとめました。
| ISO/IEC27002:2013 | |
|---|---|
| 管理策のカテゴリーと管理策の数() | |
| 5.情報セキュリティのための方針群(2) | 12.運用のセキュリティ(14) |
| 6.情報セキュリティのための組織(7) | 13.通信のセキュリティ(7) |
| 7.人的資源のセキュリティ(6) | 14.システムの取得、開発及び保守(13) |
| 8.資産の管理(10) | 15供給者関係(5) |
| 9.アクセス制御(14) | 16.情報セキュリティインシデント管理(7) |
| 10.暗号(2) | 17.事業継続マネジメントにおける情報セキュリティの側面(4) |
| 11.物理的及び環境的セキュリティ(15) | 18.順守(8) |
※管理策総計=114
そして、2022年の規格改訂により、管理策のカテゴリーは以下のように変更され、「組織的」管理策、「人的」管理策、「物理的」管理策、「技術的」管理策の4つに整理されました。
| ISO/IEC27002:2022 |
|---|
| 管理策のカテゴリーと管理策の数() |
| 5.Oraganisational controls(組織的管理策)(37) |
| 6.People controls(人的管理策)(8) |
| 7.Physical controls(物理的管理策)(14) |
| 8.Technical controls(技術的管理策)(34) |
※管理策総計=93
2022年10月に行われたISO27001改訂は、2025年10月末までに審査を終えなければいけません。本改訂は主に管理策の変更が行われているため、改訂内容に合わせた管理策を策定する必要があります。
ISOプロでは、改訂前後の管理策の対照表などを分かりやすくまとめています。ぜひ対照表をご活用いただき、改訂対応にお役立てください。無料でお渡しできますので、ぜひ下記から資料請求ください。
ISO27001:2022における新規の管理策
ISO/IEC27001:2022では、以下の11個の管理策が追加されました。
組織的管理策
- 5.7:脅威インテリジェンス
- 5.23:クラウドサービス利用における情報セキュリティ
- 5.30:事業継続のためのICTの備え
物理的管理策
- 7.4:物理的セキュリティの監視
技術的管理策
- 8.9:構成管理
- 8.10:情報の削除
- 8.11:データマスキング
- 8.12:データ漏えい防止
- 8.16:監視活動
- 8.23:ウェブ・フィルタリング
- 8.28:セキュリティに配慮したコーディング
クラウドサービスやICTといったIT用語についての管理策が追加されるなど、最新のITサービスに対応するための追加であると考えられます。
ISO27001改訂で対応すべきこと
改訂による変更点を紹介しましたが、具体的にはどのような対応が求められるのでしょうか。組織によって対応すべき点は異なりますが、主に対応が必要となる3つの点について解説します。
ISMS適用宣言書の改訂
適用宣言書とは、ISO27001附属書Aの管理策のうち、自社に適用する項目・除外する項目とその理由を記載した文書のことです。
今回の改訂により管理策の構成が変更されたため、適用宣言書も改訂することが求められます。ただし、管理策の内容自体に大きな変更はありません。
そのため、企業が主に対応すべき点としては、管理策の項目と組織の運用ルールを再適合させることでしょう。
対応が必要な変更点の分析
これまでのISO27001:2013と改訂後のISO27001:2022の要求事項を確認し、改訂された部分を洗い出しましょう。
大幅な変更はないものの、追加された管理策や対象範囲が広がった管理策もあるため、修正が必要な点について対応の方針を立てます。特にクラウドサービスの利用における情報セキュリティやサイバー攻撃への備えになる脅威インテリジェンスなどは、対応の必要性について十分に検討すると良いでしょう。
必要に応じたマニュアルの見直し
対応が必要であると判断した変更点については、必要に応じてマニュアル・ルールの見直しを実施します。
変更後は、実際に更新したISMSを運用しましょう。内部監査
やマネジメントレビュー
を経て、是正点があればさらに対応します。
改訂後の対応についてもPDCAサイクルで運用することで、新たな自社の運用ルールとして根付いていくでしょう。
ISO27001(ISMS)の改訂による移行スケジュール
ISO/IEC27001:2013を取得されている企業においては、ISO/IEC27001:2022への移行が必要となります。移行期間は発行日の月末から3年間で、期限は2025年10月31日です。
そのため、移行期限までにISO/IEC27001:2022の要求事項への対応を実施し、移行審査を受けなければなりません。
※ISO/IEC27001:2013による初回認証審査の受付は、すでに終了しています。
ISO27001(ISMS)の改訂における移行審査
ISO/IEC27001:2013を取得している企業がISO/IEC27001:2022に移行するには、移行審査を受ける必要があります。
ただし、定期審査(サーベイランス審査)や更新審査(再認証審査)の際に、移行審査も受けられます。移行単独審査を受けることも可能ですが、工数がかさむために併せて審査を受けることがおすすめです。
以下に、移行審査に関する内容をまとめています。
移行審査にかかる工数
定期審査(サーベイランス審査)や更新審査と同時に受ける場合、従来の審査に比べ、少なくとも0.5人日が追加されます。
移行審査の開始時期や費用
審査機関によって異なります。定期審査、更新審査が近い方は、審査機関へ確認しましょう。
移行審査の実施場所
改訂審査は遠隔で受けることも可能です。審査機関へ確認しましょう。
まとめ
ISO/IEC27001:2013が約10年ぶりに改訂され、移行スケジュールも明らかになりました。
改訂は、時代のニーズや変化に適応した規格であり続けるために行われます。だからこそ、ISOは「過去の産物」ではなく、今もなお取得され続けているといえます。
情報セキュリティの重要性がより高まってきた今、新たに追加された管理策などを用いて、リスクへの対策を進めていきましょう。
新規認証取得、継続に関わらず、改訂の内容で構築する必要が出てきますので、時間に余裕をもって進めましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい