【2025最新】ISO/IEC27001(ISMS)の改訂内容を解説
- ISO27001は2022年10月25日に改訂された
- 改訂により、管理策の数が114個→93個に減少
- 2013版は、2025年10月31日で失効。それまでに審査を受ける必要がある
2022年10月25日(スイス時間)に、情報セキュリティに関する国際規格であるISO/IEC27001:2013の改訂版であるISO/IEC27001:2022が発行されました。約10年ぶりの改訂となります。今回の改訂は、2022年2月に改訂されたISO27002の改訂内容との整合性を合わせる意味合いがあります。
本改訂は、すでにISMS(情報セキュリティマネジメントシステム)を構築・運用している企業はもちろん、ISO27001や関連規格の取得を検討されている企業にも影響があるものです。
そこで本稿では、その改訂内容概要の一部や移行スケジュール、移行審査、移行後の対応における注意点について紹介していきたいと思います。
目次
そもそもISO27001とは?
ISO27001とは、ISO(International Standard for Organization)が発行する情報セキュリティに関する国際規格です。
企業が保有する情報資産を、不正アクセスやウイルス攻撃、システム障害といった情報セキュリティリスクから保護しつつ、有効に活用するための管理体制を構築・運用することを目的としています。
ISO27001を取得するには、ISO27001の要求事項を満たすISMSを構築し、運用することが求められます。その後、認証機関の審査員による審査を受けることが必要です。
ISMSとの関係性
ISMS(Information Security Management System:情報セキュリティマネジメントシステム)とは、情報資産を適切に管理するための情報セキュリティに関する仕組みのことです。
情報セキュリティがただ強固なだけでなく、情報を有効に活用できるISMSを構築するには、以下の情報セキュリティにおける重要な3要素をバランスよく高めることが必要です。
- 機密性:アクセスの権限を付与された個人のみが情報にアクセスできる状態
- 完全性:情報が最新かつ正確な状態で保護・管理されている状態
- 可用性:アクセス権限を付与された個人が、利用したいときにアクセスできる状態
ISO27001の要求事項に沿ってISMSを構築し、運用していくことで3要素を高められるようになっています。つまり、ISO27001はこれら3要素を高め、情報資産を管理する体制を構築・運用していくフレームワークといえるでしょう。
ISO27001、ISO27002、JIS Q 27001の関係性
ISO27001と混同しやすいISO27002やJISQ27001の概要を以下にまとめました。
- ISO27001:ISMSに関する国際規格
- ISO27002:ISO27001の管理策を実践するための手引きとなっている国際規格
- JIS Q 27001:ISO27001を日本語に翻訳したJIS規格(日本産業規格)
つまり、ISO27002はISO27001に定められた要求事項を満たすための具体的な方法を示していることから、ISO27001取得に向けた参考資料として利用できるものです。
またISO27001を日本語に翻訳したものがJIS Q 27001であり、両者は整合性が取れている規格として認められていることから、「ISO27001=JIS Q 27001」として扱われています。
2025年現在のISO27001の最新版は?
2025年2月現在のISO27001の最新版について解説します。
直近の改訂は2022年!改訂の背景とは
2025年現在、ISO27001の最新版は2022年に改訂されたものとなっています。改訂された背景には、「クラウドサービスの普及と個人情報保護に対する必要性が高まったこと」が挙げられます。
これまでのISO27001:2013ではオンプレ環境で運用されることが前提であったため、クラウドサービスの普及によって、新たな基準を設定する必要が出てきたことで改訂されました。
改訂の対応期限は2025年10月31日
2022年10月25日(スイス時間)に改訂されたISO27001:2022への対応期限は、2025年10月31日までと定められています。
2025年時点で対応が必要な組織は、「すでにISO27001を取得している組織」です。
まだISO27001:2022への移行審査を受けていない場合には、手続きや審査にかかる時間も考慮して、なるべく早めに準備しましょう。
また現在の維持・更新は以下の要求事項をベースに審査されることになるため、移行審査を受ける組織の方は購入をご検討ください。
日本規格協会グループ:JIS Q 27001:2023 情報セキュリティ,サイバーセキュリティ及びプライバシー保護―情報セキュリティマネジメントシステム―要求事項(外部リンク)
ISO27001改訂による変更点
ISO/IEC27001:2013からISO/IEC27001:2022の改訂による主な変更点は、以下の3点です。
- 6.1.3c)管理目的が削除され、「管理策」が「情報セキュリティ管理策」へと変更
- 6.1.3d)潜在的曖昧さを取り除く修正
- 附属書A
本文の表現が変更になった部分はあるものの実質的な変更はなく、改訂内容の大半は「附属書A」の内容となります。
「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスク対応の実施に必要な管理策を定めたものです。
管理策(附属書A)における変更点
管理策(附属書A)における変更点をまとめました。
- 114の管理策が93に削減
- 58の管理策が更新
- 24の管理策が統合
- 11の新しい管理策が導入
- 管理策のカテゴリーが14分類から4分類に変更
今回の改訂により、管理策の数が114個→93個に減少しています。
ただし、内容の近い管理策が統合されるなどして減少したものの、行うべき管理策の数が単純に減少したというわけではありません。
実は今回のISO27001の改訂は、2022年2月に改訂されたISO27002に伴う改訂でした。冒頭で解説した通り、ISO27002はISO27001の管理策の具体的な方法を示したものであるため、整合性を図るために変更されたと考えられます。
ここからは、特に管理策(付属書A)における変更点について詳しく解説します。
カテゴリーの分類・項目数の絞り込み
ISO/IEC27001:2013からISO/IEC27001:2022への改訂に伴い、管理策のカテゴリーと項目数が変更されました。
管理策はISO27001の附属書Aに記載されていることから、今回の改訂では附属書Aが変更されています。また管理策の具体的な方法はISO27002に示されており、ISO27001よりも前に改訂されています。
そこで、ここではISO/IEC27002:2013からISO/IEC27002:2022への改訂により変更された管理策のカテゴリーと管理策数を以下にまとめました。
【改訂前】ISO/IEC27001:2013の管理策のカテゴリーと管理策数
| 管理策のカテゴリーと管理策の数() | |
|---|---|
| 5.情報セキュリティのための方針群(2) | 12.運用のセキュリティ(14) |
| 6.情報セキュリティのための組織(7) | 13.通信のセキュリティ(7) |
| 7.人的資源のセキュリティ(6) | 14.システムの取得、開発及び保守(13) |
| 8.資産の管理(10) | 15供給者関係(5) |
| 9.アクセス制御(14) | 16.情報セキュリティインシデント管理(7) |
| 10.暗号(2) | 17.事業継続マネジメントにおける情報セキュリティの側面(4) |
| 11.物理的及び環境的セキュリティ(15) | 18.順守(8) |
【改訂後】ISO/IEC27001:2022の管理策のカテゴリーと管理策数
| 管理策のカテゴリーと管理策の数() |
|---|
| 5.Oraganisational controls(組織的管理策)(37) |
| 6.People controls(人的管理策)(8) |
| 7.Physical controls(物理的管理策)(14) |
| 8.Technical controls(技術的管理策)(34) |
今回の規格改訂により、管理策のカテゴリーは「組織的」管理策、「人的」管理策、「物理的」管理策、「技術的」管理策の4つに整理されたことがわかります。
2022年10月に行われたISO27001改訂は、2025年10月末までに審査を終えなければいけません。本改訂は主に管理策の変更が行われているため、改訂内容に合わせた管理策を策定する必要があります。
ISOプロでは、改訂前後の管理策の対照表などを分かりやすくまとめています。ぜひ対照表をご活用いただき、改訂対応にお役立てください。無料でお渡しできますので、ぜひ下記から資料請求ください。
管理策の新規追加
ISO/IEC27001:2022では、以下の11個の管理策が追加されました。
組織的管理策
- 5.7:脅威インテリジェンス
- 5.23:クラウドサービス利用における情報セキュリティ
- 5.30:事業継続のためのICTの備え
物理的管理策
- 7.4:物理的セキュリティの監視
技術的管理策
- 8.9:構成管理
- 8.10:情報の削除
- 8.11:データマスキング
- 8.12:データ漏えい防止
- 8.16:監視活動
- 8.23:ウェブ・フィルタリング
- 8.28:セキュリティに配慮したコーディング
クラウドサービスやICTといったIT用語についての管理策が追加されるなど、最新のITサービスに対応するための追加であると考えられます。
ISO27001改訂で組織が対応すべき3つのポイント
改訂による変更点を紹介しましたが、具体的にはどのような対応が求められるのでしょうか。組織によって対応すべき点は異なりますが、主に対応が必要となる3つの点について解説します。
ISMS適用宣言書の改訂
適用宣言書とは、ISO27001附属書Aの管理策のうち、自社に適用する項目・除外する項目とその理由を記載した文書のことです。
今回の改訂により管理策の構成が変更されたため、適用宣言書も改訂することが求められます。
管理策の内容自体に大きな変更はありませんが、「管理策の項目と組織の運用ルールを再適合させること」に取り組むことは忘れずに行いましょう。
対応が必要な変更点の分析
これまでのISO27001:2013と改訂後のISO27001:2022の要求事項を確認し、改訂された部分を洗い出しましょう。
大幅な変更はないものの、追加された管理策や対象範囲が広がった管理策もあるため、修正が必要な点について対応の方針を立ててください。
特にクラウドサービスの利用における情報セキュリティやサイバー攻撃への備えになる脅威インテリジェンスなどは、対応の必要性について十分に検討すると良いでしょう。
必要に応じたマニュアルの見直し
変更点を分析し、「対応が必要である」と判断した変更点については、必要に応じてマニュアル・ルールの見直しを実施します。
変更後は、実際に更新したISMSを運用しましょう。内部監査やマネジメントレビューを経て、是正点があればさらに対応します。
改訂後の対応についてもPDCAサイクルで運用することで、新たな自社の運用ルールとして根付いていくでしょう。
ISO27001の改訂で受ける必要がある移行審査とは
ただし、定期審査(サーベイランス審査)や更新審査(再認証審査)の際に、移行審査も受けられます。移行単独審査を受けることも可能ですが、工数がかさむために併せて審査を受けることがおすすめです。
以下に、移行審査に関する内容をまとめています。
移行審査にかかる工数
定期審査(サーベイランス審査)や更新審査と同時に受ける場合、従来の審査に比べ、少なくとも0.5人日が追加されます。
移行審査の開始時期や費用
2025年2月現在、すでに移行審査は行われています。定期審査、更新審査が近い方は、審査機関へ確認しましょう。
費用については事業規模や業種、審査機関によって異なります。見積もりを依頼するか助成金コンサルに相談し、自社に適した審査機関を見つけることも一つの手です。
移行審査の実施場所
改訂審査の実施場所は、現地もしくはリモートで受けることも可能です。リモートでの審査を希望する場合には、審査機関へ確認しましょう。
まとめ
ISO/IEC27001:2013が約10年ぶりに改訂され、移行スケジュールも明らかになりました。
改訂は、時代のニーズや変化に適応した規格であり続けるために行われます。だからこそ、ISOは「過去の産物」ではなく、今もなお取得され続けているといえます。
情報セキュリティの重要性がより高まってきた今、新たに追加された管理策などを用いて、リスクへの対策を進めていきましょう。
新規認証取得、継続に関わらず、改訂の内容で構築する必要が出てきますので、時間に余裕をもって進めましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい