【2025最新】ISO/IEC27001(ISMS)の改訂内容・対応期限・移行審査を徹底解説
- ISO27001は2022年10月25日に改訂された
- 改訂により、管理策の数が114個→93個に減少
- 2013版は、2025年10月31日で失効。それまでに審査を受ける必要がある
2022年10月25日(スイス時間)に、情報セキュリティに関する国際規格であるISO/IEC27001:2013の改訂版であるISO/IEC27001:2022が発行されました。約10年ぶりの改訂となります。今回の改訂は、2022年2月に改訂されたISO27002の改訂内容との整合性をもたせる目的で実施されたものです。
本改訂は、すでにISMS(情報セキュリティマネジメントシステム)を構築・運用している企業はもちろん、ISO27001や関連規格の取得を検討されている企業にも影響があると考えられます。
そこで、この記事ではISO27001の改訂内容概要の一部や移行スケジュール、移行審査、移行後の対応における注意点について解説します。
目次
ISO27001とは?
ISO27001とは、国際標準化機構(ISO:International Standard for Organization)が定めた情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。
企業が保有する情報資産を、不正アクセスやウイルス攻撃などの情報セキュリティリスクから保護・管理するための仕組みを構築・運用することを目的としています。
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、情報資産を適切に管理するための情報セキュリティに関する仕組みのことです。
ISMSでは、情報を保護するだけでなく、情報を有効に活用できる状態を構築することを重視しており、以下の「情報セキュリティの3要素」をバランスよく高めることを求めています。
- 機密性:アクセスの権限を付与された個人のみが情報にアクセスできる状態
- 完全性:情報が最新かつ正確な状態で保護・管理されている状態
- 可用性:アクセス権限を付与された個人が、利用したいときにアクセスできる状態
完全性は、求められる正確性や完全性の程度(編集や復旧の容易さ)。
可用性は、使用頻度や利用頻度の程度
ISO27001では、これら3要素を高めることを目指し、ISMSを構築・運用する手順や方法をまとめた「要求事項」を定めています。つまり、ISO27001はこれら3要素を高め、情報資産を管理する体制を構築・運用していくフレームワークといえるでしょう。
また、認証を取得するには、ISO27001の要求事項を満たしたISMSを構築・運用することが求められます。そのうえで、認証機関の審査員による「ISMS がISO27001の要求事項に適合しているか」という点を評価してもらうために、審査を受ける必要があります。
認証の有効期限は3年です。
ISO27001、ISO27002、JIS Q 27001の関係性
ISO27001と混同しやすいISO27002やJISQ27001の概要を以下にまとめました。
- ISO27001:ISMSに関する国際規格
- ISO27002:ISO27001の管理策を実践するための手引きとなっている国際規格
- JIS Q 27001:ISO27001を日本語に翻訳したJIS規格(日本産業規格)
つまり、ISO27002はISO27001に定められた要求事項を満たすための具体的な方法を示していることから、ISO27001取得に向けた参考資料として利用できるものです。
またISO27001を日本語に翻訳したものがJIS Q 27001であり、両者は整合性が取れている規格として認められていることから、「ISO27001=JIS Q 27001」として扱われています。
2025年現在のISO27001の最新版は?
ここでは、2025年2月現在のISO27001の最新版について解説します。
直近の改訂は2022年!改訂の背景とは
2025年現在、ISO27001の最新版は2022年に改訂された版です。改訂された背景には、「クラウドサービスの普及と個人情報保護に対する必要性が高まったこと」が挙げられます。
これまでのISO27001:2013ではオンプレミス環境で運用されることが前提であったため、クラウドサービスの普及によって、新たな基準を設定する必要が出てきたことで改訂されました。
改訂の対応期限は2025年10月31日
2022年10月25日(スイス時間)に改訂されたISO27001:2022への対応期限は、2025年10月31日までと定められています。
2025年時点で対応が必要な組織は、「すでにISO27001を取得している組織」です。
まだISO27001:2022への移行審査を受けていない場合には、手続きや審査にかかる時間も考慮して、なるべく早めに準備しましょう。
また、現在の維持・更新は以下の要求事項をベースに審査されることになるため、移行審査を受ける組織の方は購入をご検討ください。
日本規格協会グループ:JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護―情報セキュリティマネジメントシステム―要求事項(外部リンク)
ISO27001改訂による変更点
ISO/IEC27001:2013からISO/IEC27001:2022の改訂による主な変更点は、以下の3点です。
- 6.1.3c)管理目的が削除され、「管理策」が「情報セキュリティ管理策」へと変更
- 6.1.3d)潜在的曖昧さを取り除く修正
- 附属書A(※11の管理策が追加)
本文の表現が変更になった部分はあるものの実質的な変更はなく、改訂内容の大半は「附属書A」の内容となります。
「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスク対応の実施に必要な管理策を定めたものです。
管理策(附属書A)における変更点
管理策(附属書A)における変更点をまとめました。
- 114の管理策が93に削減
- 58の管理策が更新
- 24の管理策が統合
- 11の新しい管理策が導入
- 管理策のカテゴリーが14分類から4分類に変更
今回の改訂により、管理策の数が114個→93個に減少しています。
ただし、内容の近い管理策が統合されるなどして減少したものの、行うべき管理策の数が単純に減少したというわけではありません。
実は今回のISO27001の改訂は、2022年2月に改訂されたISO27002に伴う改訂でした。冒頭で解説した通り、ISO27002はISO27001の管理策の具体的な方法を示したものであるため、整合性を図るために変更されたと考えられます。
ここからは、特に管理策(附属書A)における変更点について詳しく解説します。
カテゴリーの分類・項目数の絞り込み
ISO/IEC27001:2013からISO/IEC27001:2022への改訂に伴い、管理策のカテゴリーと項目数が変更されました。
管理策はISO27001の附属書Aに記載されていることから、今回の改訂では附属書Aが変更されています。また管理策の具体的な方法はISO27002に示されており、ISO27001よりも前に改訂されています。
そこで、ここではISO/IEC27002:2013からISO/IEC27002:2022への改訂により変更された管理策のカテゴリーと管理策数を以下にまとめました。
【改訂前】ISO/IEC27001:2013の管理策のカテゴリーと管理策数(計:114)
| 管理策のカテゴリーと管理策の数() | |
|---|---|
| 5.情報セキュリティのための方針群(2) | 12.運用のセキュリティ(14) |
| 6.情報セキュリティのための組織(7) | 13.通信のセキュリティ(7) |
| 7.人的資源のセキュリティ(6) | 14.システムの取得、開発及び保守(13) |
| 8.資産の管理(10) | 15供給者関係(5) |
| 9.アクセス制御(14) | 16.情報セキュリティインシデント管理(7) |
| 10.暗号(2) | 17.事業継続マネジメントにおける情報セキュリティの側面(4) |
| 11.物理的及び環境的セキュリティ(15) | 18.順守(8) |
【改訂後】ISO/IEC27001:2022の管理策のカテゴリーと管理策数(計:93)
| 管理策のカテゴリーと管理策の数() |
|---|
| 5.Oraganisational controls(組織的管理策)(37) |
| 6.People controls(人的管理策)(8) |
| 7.Physical controls(物理的管理策)(14) |
| 8.Technical controls(技術的管理策)(34) |
今回の規格改訂により、管理策のカテゴリーは「組織的」管理策、「人的」管理策、「物理的」管理策、「技術的」管理策の4つに整理されたことがわかります。
2022年10月に行われたISO27001改訂は、2025年10月末までに審査を終えなければいけません。本改訂は主に管理策の変更が行われているため、改訂内容に合わせた管理策を策定する必要があります。
ISOプロでは、改訂前後の管理策の対照表などを分かりやすくまとめています。ぜひ対照表をご活用いただき、改訂対応にお役立てください。無料でお渡しできますので、ぜひ下記から資料請求ください。
管理策の新規追加
ISO/IEC27001:2022では、以下の11個の管理策が追加されました。
組織的管理策
- 5.7:脅威インテリジェンス
- サイバー攻撃など新たに発生する情報セキュリティの脅威に関連する情報を収集及び分析して、いち早く適切なリスク低減処置を講じることを求めています。
- 5.23:クラウドサービス利用における情報セキュリティ
- クラウドサービスプロバイダーの対策やクラウドサービスカスタマの対策が求められています。
- 5.30:事業継続のためのICT(情報通信技術)の備え
- 附A.5.29の対象となる事業継続を困難にする状況の中のICT継続の備えについての計画、実施、維持、試験を要求しています。
物理的管理策
- 7.4:物理的セキュリティの監視
- 警備員や侵入センサー、監視カメラなどによる敷地内を物理的に監視することを要求しています。
技術的管理策
- 8.9:構成管理
- システムを構成するハードウェアやソフトウェアが稼働する環境の情報を常に最新の状態で管理していくことです。
- 8.10:情報の削除
- 情報システム、装置またはその他の記憶媒体の保存している取り扱いに慎重を要する情報の不必要な漏洩を防止し、情報の削除に関する法令、規制及び契約上の要求事項を順守することを要求しています。
- 8.11:データマスキング
- 個人情報など取り扱いに重要を要するデータの開示を制限し、法令、規制を順守するため、データマスキング、仮名化、匿名化などの手法を用いて使用することを要求しています。
- 8.12:データ漏えい防止
- 重要データの漏洩防止対策を実施することを要求しています。
- 8.16:監視活動
- 異常な行動・動作及び潜在する情報セキュリティインシデントを検出して、情報セキュリティインシデントの可能性がある事象を評価するためにネットワーク、システム及びアプリケーションについて異常な行動・動作がないかを監視し、適切な処置を講じることを要求しています。
- 8.23:ウェブ・フィルタリング
- 特定のWebサイトやドメインにアクセス(閲覧)できないように制御する対策です。
- 8.28:セキュリティに配慮したコーディング
- ソフトウェアがセキュリティに配慮して開発され、それによってソフトウェアの潜在的な情報セキュリティのぜい弱性の数を減らすことを確実にすることを要求しています。
クラウドサービスやICTといったIT用語についての管理策が追加されるなど、最新のITサービスに対応するための追加であると考えられます。
ISO27001改訂が企業に与える影響
今回のISO27001改訂が企業に与える影響について解説します。
クラウドサービス利用におけるセキュリティ強化
近年、クラウドサービスを利用する企業が増え、データやシステムの一部がクラウド上で管理されるようになっています。この変化を受け、ISO27001の改訂では、クラウド環境を含めた情報資産の管理やクラウドサービス提供者との責任範囲が明確化されました。
その結果、企業はクラウド利用に伴う管理体制や運用ルールを見直す必要が生じますが、クラウド上の情報資産の管理が従来よりも明確になり、組織全体の情報セキュリティ体制が強化されるという前向きな影響も期待できます。
リモートワーク普及に伴う新たなリスク対応
リモートワークや在宅勤務の普及により、従来オフィス内に限定されていた情報資産の管理範囲が広がっています。今回のISO27001の改訂では、こうしたリモート環境での情報管理の重要性がより明確になりました。
企業はリモート環境でのアクセス管理や情報保護の運用方針を見直す必要がありますが、この見直しを通じて、従業員の情報セキュリティ意識が向上すれば、リモート環境における業務運用の信頼性が高まります。
その結果、リモートワークの利便性を維持しつつ、情報漏えいや不正アクセスといったリスクをより効果的に管理できる体制の整備につながるといった好影響が期待できます。
ISO27001改訂で組織が対応すべき3つのポイント
改訂による変更点を紹介しましたが、具体的にはどのような対応が求められるのでしょうか。組織によって対応すべき点は異なりますが、主に対応が必要となる3つの点について解説します。
ISMS適用宣言書の改訂
適用宣言書とは、ISO27001附属書Aの管理策のうち、自社に適用する項目・除外する項目とその理由を記載した文書のことです。
今回の改訂により管理策の構成が変更されたため、適用宣言書も改訂することが求められます。
管理策の内容自体に大きな変更はありませんが、「管理策の項目と組織の運用ルールを再適合させること」に取り組むことは忘れずに行いましょう。
- 必要な管理策
- それらの管理策を含めた理由
- それらの管理策を実施しているか否か
- 附属書Aに規定する管理策を除外した理由
対応が必要な変更点の分析
これまでのISO27001:2013と改訂後のISO27001:2022の要求事項を確認し、改訂された部分を洗い出しましょう。
大幅な変更はないものの、追加された管理策や対象範囲が広がった管理策もあるため、修正が必要な点について対応の方針を立ててください。
特にクラウドサービスの利用における情報セキュリティやサイバー攻撃への備えになる脅威インテリジェンスなどは、対応の必要性について十分に検討すると良いでしょう。
必要に応じたマニュアルの見直し
変更点を分析し、「対応が必要である」と判断した変更点については、必要に応じてマニュアル・ルールの見直しを実施します。
変更後は、実際に更新したISMSを運用しましょう。内部監査やマネジメントレビューを経て、是正点があればさらに対応します。
改訂後の対応についてもPDCAサイクルで運用することで、新たな自社の運用ルールとして根付いていくでしょう。
ISO27001の改訂で受ける必要がある移行審査とは
ただし、定期審査(サーベイランス審査)や更新審査(再認証審査)の際に、移行審査も受けられます。移行単独審査を受けることも可能ですが、工数がかさむために併せて審査を受けることがおすすめです。
以下に、移行審査に関する内容をまとめています。
移行審査にかかる工数
定期審査(サーベイランス審査)や更新審査と同時に受ける場合、従来の審査に比べ、少なくとも0.5人日が追加されます。
移行審査の開始時期や費用
2025年2月現在、すでに移行審査は行われています。定期審査、更新審査が近い方は、審査機関へ確認しましょう。
費用については事業規模や業種、審査機関によって異なります。見積もりを依頼するか助成金コンサルに相談し、自社に適した審査機関を見つけることも一つの手です。
移行審査の実施場所
改訂審査の実施場所は、現地もしくはリモートで受けることも可能です。リモートでの審査を希望する場合には、審査機関へ確認しましょう。
ISO27001改訂への対応を効率化する方法
ISO27001改訂への対応を効率化する方法を解説します。
ISOコンサルタントにサポートを依頼
ISO27001改訂への対応は、改訂内容を正しく理解したうえで、自社の管理体制や運用ルールに反映させる必要があるため、ISO27001に関する知識が欠かせません。また、自社の業務を行いながら対応する必要があるため、業務量が増えて社員の負担も大きくなりがちです。
ISOコンサルタントは、要求事項や改訂内容に精通しており、自社に適した管理策の提案や文書整備の支援、審査対応の準備まで幅広くサポートしてくれます。
そのため、サポートを依頼することで改訂対応の負担を軽減しつつ、自社に合ったISMSの再構築が可能です。
ISMS管理ツールの導入
ISO27001改訂への対応では、情報資産の管理やリスク評価、運用ルールの文書化など、多くの作業が発生します。こうした業務を効率化する手段として、ISMS管理ツールの導入が有効です。
ツールを利用することで、リスクアセスメントや文書管理の自動化などが可能になります。
ISO27001改訂に向けたよくある質問
ISO27001改訂に向けたよくある質問について回答します。
Q:旧規格のままではどうなる?
ISO27001の改訂に対応しないと「失効」となり、現在の認証登録が取り消される可能性があります。
認証の失効により、情報セキュリティへの取り組みが不足していると判断され、取引先や顧客からの信頼の低下につながることも考えられます。
Q:中小企業でも対応可能か?
はい、企業規模に関わらず、ISO27001改訂は対応可能です。
規格に精通した人材がいない場合や自社負担を軽減したい場合には、ISOコンサルタントのサポートを依頼することがおすすめです。
Q:改訂対応にかかる期間はどのくらい?
企業の規模や現行のISMS運用状況によりますが、改訂後のISMSを約3か月運用する必要があるため、審査を受ける約1年前から対応することがおすすめです。余裕をもって準備することで、スムーズな改訂対応につながります。
まとめ
ISO/IEC27001:2013が約10年ぶりに改訂され、移行スケジュールも明らかになりました。
改訂は、時代のニーズや変化に適応した規格であり続けるために行われます。だからこそ、ISOは「過去の産物」ではなく、今もなお取得され続けているといえます。
情報セキュリティの重要性がより高まってきた今、新たに追加された管理策などを用いて、リスクへの対策を進めていきましょう。
新規認証取得、継続に関わらず、改訂の内容で構築する必要が出てきますので、時間に余裕をもって進めましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
2007年3月より製造業・建築業においてISO(9001・14001)構築運用業務に携わる。コンサル業の傍ら2013年から2019年迄は、梱包資材メーカーのISO(9001・14001)事務局及び品質保証担当として上場一部メーカーなどとの折衝業務などにも従事。2021年12月よりISOプロのコンサルとして活動をスタート。