【2023最新版】ISO/IEC27001(ISMS)の改訂内容とは?
- ISO27001は2022年10月25日に改訂された
- 改訂により、管理策の数が114個→93個に減少する
- 2013版は、2025年10月31日で失効。それまでに審査を受ける必要がある
2022年10月25日(スイス時間)に、情報セキュリティに関する国際規格であるISO /IEC27001:2013の改訂版であるISO/IEC27001:2022が発行されました。約10年ぶりの改訂となります。今回の改訂は、2022年2月に改訂されたISO27002の改訂内容との整合性を合わせる意味合いがあります。
本改訂は、すでにISMS
(情報セキュリティマネジメントシステム)を構築・運用している企業様、そしてISO27001
やその関連規格の取得を検討されている企業様にも影響があります。
そこで本稿では、その改訂内容概要の一部や移行スケジュール、移行審査、移行後の対応における注意点について紹介していきたいと思います。
目次
ISO27001の改訂内容とは?
ISO/IEC 27001:2013からの変更点となる内容や改訂された時期などの情報について解説していきます。
ISO27001の改訂は2022年10月25日
2022年秋頃と予想されていた通り、2022年10月25日(スイス時間)にISO27001は改訂されました。
日本規格協会グループにて要求事項を購入できます。邦訳版も出ています。
また2023年9月20日に、JIS版が発行されました。
今後の新規取得や維持・更新はこちらをベースに審査されることになっていくため、ご検討中の企業様は購入をご検討ください。
改訂されたポイント
ISO/IEC 27001:2013から最新版となったISO/IEC27001:2022の改訂による主な変更点は、以下のようになります。
- 6.1.3c) 管理目的が削除され、「管理策」が「情報セキュリティ管理策」へと変更
- 6.1.3d) 潜在的曖昧さを取り除く修正
- 附属書A
本文の表現が変更になった部分はあるものの、実質的な変更はなく、改訂内容の大半は「附属書A」の内容となります。「附属書A」とは、組織が情報セキュリティのリスクアセスメントを行った結果、セキュリティリスク対応 の実施に必要な管理策を定めたものです。
管理策(附属書A)における変更点をまとめました。
- 114の管理策が93に削減
- 58の管理策が更新
- 24の管理策が統合
- 11の新しい管理策が導入
- 管理策のカテゴリーが14分類から4分類に変更
今回の改訂により、管理策の数が114個→93個に減少しています。
ただし、内容の近い管理策が統合されるなどして減少したものの、行うべき管理策の数が単純に減少したというわけではありません。
2013年版の管理策のカテゴリーと管理策の数を表にしてまとめました。
| ISO/IEC27002:2013 | |
|---|---|
| 管理策のカテゴリーと管理策の数() | |
| 5.情報セキュリティのための方針群(2) | 12.運用のセキュリティ(14) |
| 6.情報セキュリティのための組織(7) | 13.通信のセキュリティ(7) |
| 7.人的資源のセキュリティ(6) | 14.システムの取得、開発及び保守(13) |
| 8.資産の管理(10) | 15供給者関係(5) |
| 9.アクセス制御(14) | 16.情報セキュリティインシデント管理(7) |
| 10.暗号(2) | 17.事業継続マネジメントにおける情報セキュリティの側面(4) |
| 11.物理的及び環境的セキュリティ(15) | 18.順守(8) |
※管理策総計=114
そして、2022年の規格改訂により、管理策のカテゴリーは以下のように変更され、「組織的」管理策、「人的」管理策、「物理的」管理策、「技術的」管理策の4つに整理されました。
| ISO/IEC27002:2022 |
| 管理策のカテゴリーと管理策の数() |
| 5.Oraganisational controls(組織的管理策)(37) |
| 6.People controls(人的管理策)(8) |
| 7.Physical controls(物理的管理策)(14) |
| 8.Technical controls(技術的管理策)(34) |
※管理策総計=93
2022年10月に行われたISO27001改訂は、2025年10月末までに審査を終えなければいけません。本改訂は主に管理策の変更が行われているため、改訂内容に合わせた管理策を策定する必要があります。
ISOプロでは、改訂前後の管理策の対照表などを分かりやすくまとめています。ぜひ対照表をご活用いただき、改訂対応にお役立てください。無料でお渡しできますので、ぜひ下記から資料請求ください。
ISO27001:2022における新規の管理策
ISO/IEC27001:2022では、以下の11個の管理策が追加されました。
組織的管理策
- 5.7:脅威インテリジェンス
- 5.23:クラウドサービス利用における情報セキュリティ
- 5.30:事業継続のためのICTの備え
物理的管理策
- 7.4:物理的セキュリティの監視
技術的管理策
- 8.9:構成管理
- 8.10:情報の削除
- 8.11:データマスキング
- 8.12:データ漏えい防止
- 8.16:監視活動
- 8.23:ウェブ・フィルタリング
- 8.28:セキュリティに配慮したコーディング
クラウドサービスやICTといったIT用語についての管理策が追加されるなど、最新のITサービスに対応するための追加であると考えられます。
そもそもISO27001とは?
ここで、ISO27001の概要や目的について復習しておきましょう。
ISO27001とは
ISO27001とは、ISO(International Standard for Organization)が発行する国際規格のひとつであり、情報セキュリティに関する規格です。
企業が保有する情報資産を、不正アクセスやウイルス攻撃、システム障害といった情報セキュリティリスクから保護しつつ、有効に活用するための管理体制を構築・運用していくことを目的としています。
主な取得企業は、IT系企業、人材派遣業、金融業などの重要な情報資産を扱うことが多い業種となっていますが、近年情報セキュリティは、重要視されているため取得企業数は増加傾向にあります。
ISMSとの関係性
ISMS(Information Security Management System)とは、情報資産を守るための情報システムマネジメントシステムのことです。
情報セキュリティがただ強固なだけでなく、情報を有効に活用できるISMSを構築するには、以下の情報セキュリティにおける重要な3要素をバランスよく高めることが必要です。
- 機密性:アクセスの権限を付与された個人のみが情報にアクセスできる状態
- 完全性:情報が最新かつ正確な状態で保護・管理されている状態
- 可用性:アクセス権限を付与された個人が、利用したいときにアクセスできる状態
情報セキュリティの重要性を理解していても、これらの3要素を「どのように」高められるかがわからないという組織も多いでしょう。
そういった組織でも、ISO27001の要求事項に沿ってISMSを構築し、運用していくことで3要素を高められるようになっています。つまり、ISO27001はこれら3要素を高め、情報資産を管理する体制を構築・運用していくフレームワークといえるでしょう。
ISO27001を取得するには、ISO27001の要求事項を満たすISMSを構築し、運用することが求められます。その後、認証機関の審査員による審査を受けることが必要です。
ISO27001・ISO27002・JIQ27001の違い
IS27001とよく似た名前の規格であるISO27002・JIQ27001についての概要と、ISO27001との違いについて解説します。
ISO27002とは、ISO27001の管理策を実践するために、情報セキュリティマネジメントシステムの具体的な基準をまとめた規格です。ISO27001の管理策は今回の改訂で93個になりましたが、そのすべてを運用することは難しいため、実施方法についてのガイドラインとしての役割を担っています。
そのため、ISO27001とISO27002は、異なる規格として存在しているものの、ISO27001の管理策を実施するための手引きとしてISO27002を活用されることを想定された規格となっています。そのため、ISO27002だけではISMS認証を取得できません。
また、JIQ27001とは、国際規格であるISO27001を日本語に訳したものになっています。そのため、ほぼ同じ内容になっているため、大きな違いはありません。
ISO27001(ISMS)の改訂はどのように進んだの?
2022年7月28日に、FDIS(Final Draft International Standards)の投票が始まりました。FDISとは、最終国際規格案のことで、規格案を承認するか否かの最終投票が行われる段階にあることを意味しています。最終投票は8週間の期間が設けられており、今回の改訂では、9月21日に投票が締め切られました。
投票での承認後、2022年10月25日国際規格として発行されました。
ISO27001(ISMS)の改訂による移行スケジュール
ISO/IEC 27001:2013を取得されている企業様においては、ISO/IEC 27001:2022への移行が必要となります。移行期間は発行日の月末から3年間で、期限は2025年10月31日となっています。
そのため、移行期限までにISO/IEC 27001:2022の要求事項への対応を実施し、移行審査を受けなければなりません。
また、これからISO27001の取得審査を受ける予定の企業様は、2023年10月31日までに初回審査を受けることで、ISO/IEC27001:2013の取得できます。ただ2023年7月現在でいうと、今からISMSを構築し2013年版で審査を受けるのは現実的に難しいため、2022年版での取得に向けて準備するのがいいでしょう。
ISO/IEC 27001:2022を取得したい場合は、いつから初回審査ができるかは審査機関によって異なるため、審査機関に相談してください。
ISO27001(ISMS)の改訂における移行審査
ISO/IEC 27001:2013を取得されている企業様がISO/IEC 27001:2022に移行するには、移行審査を受ける必要があります。基本的に定期審査(サーベイランス審査)や更新審査(再認証審査)と同時実施できますが、移行単独審査も受けられます。ただ、以降単独では工数がかさむため、定期審査または更新審査での移行がいいでしょう。また、改訂審査は、遠隔で受けることも可能です。
ただし、定期審査(サーベイランス審査)や更新審査においても従来の審査に比べ、少なくとも0.5人日が追加されます。
移行審査の開始時期や費用は審査機関によって異なりますが、審査機関から認証組織へ移行に関する情報が連絡されることになっています。定期審査、更新審査が近い方は、審査機関へ確認しましょう。
ISO27001(ISMS)の改訂により気を付けるべきこと
すでにISMSを構築・運用している企業様においては、新たに追加された管理策(11個)への対応是非を検討して行く必要があります。
情報セキュリティ管理策だけでなく、マニュアルの改訂作業や適用宣言書においても対応が必要になってくるでしょう。既存ルールの構成を変更するのか、新規ルールを作成していくのかなどを確認してください。
JISQ27001:2022の情報をチェックする
ISO27001:2022の規格改訂対応を実施するには、日本語版であるJISQ27001:2022の発行を待つ必要があります。
ISO27001:2022自体は2022年10月に改訂されましたが、日本語に翻訳する時間がある影響で、JISQ27001:2022の発行時期は2023年7月~8月ごろといわれています。
そのため、JISQ27001:2022が発行されるまでの間に、自社のISO27001の現状を見直すとともに規格対応する必要があった場合に「自社で対応するのか」「コンサルに依頼するのか」についても検討しておくことがおすすめです。
まとめ
ISO/IEC27001:2013が約10年ぶりに改訂され、移行スケジュールも明らかになりました。
改訂は、時代のニーズや変化に適応した規格であり続けるために行われます。だからこそ、ISOは「過去の産物」ではなく、今もなお取得され続けているといえます。
情報セキュリティの重要性がより高まってきた今、新たに追加された管理策などを用いて、リスクへの対策を進めていきましょう。
新規認証取得、継続に関わらず、改訂の内容で構築する必要が出てきますので、時間に余裕をもって進めましょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい