CONTENTS MENU
HOME » ISO/IEC27001の改訂

ISO/IEC27001が改訂されました

ISO/IEC27001:2022の発行

2022年10月25日にISO/IEC27001:2013(以下、「2013年版」という。)の改訂版となる、ISO/IEC27001:2022(以下、「改訂版」という。)が発行されました。
タイトルは「情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」です。2013年版の「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」から変更され、サイバーセキュリティ、プライバシー保護が追加されています。

※2023年1月現在、日本の審査の基準であるJIS規格はまだ発行されていません。当社で複数の関係機関に確認したところ、JIS規格の発行時期は、2023年夏頃が有力です。

< いつまでに改訂版に対応しなければならないか >

いつまでに改訂版に
対応しなければならないか

2013年版から改訂版への移行期間は、3年です。2025年10月31日(JIS規格の改訂版発行日ではなく、ISO規格の改訂版発行日から、その発行日を含む月の末日を起点とした3年後)までに移行を完了させなければなりません。
移行完了までの受審期限は、審査機関によって異なりますので各審査機関にご確認ください。

< 移行期限と移行期間 >
移行期限と移行期間

※ISMS-AC:ISO/IEC 27001:2022 発行のお知らせ(https://isms.jp/doc/isoiec27001_2022.pdf)より編集

< 新規取得の場合、2013年版で審査を受けられるのはいつまで >

新規取得の場合、2013年版で
審査を受けられるのはいつまで

2013年版で新規審査を受けられる期限は、1年です。2023年10月31日(起点日は、移行期間と同様にISO規格の改訂版発行日から、その発行日を含む月の末日)までに初回審査を受ける必要があります。受審期限は、審査機関によって異なりますので各審査機関にご確認ください。
なお、2013年版で新規取得した場合、2025年10月31日までに改訂版で審査を受け、移行を完了する必要があります。

改訂版のポイント

改訂版は、大きく2つの観点から変更されています。
① 附属書Aの見直し

1つ目のポイントは、ISO/IEC 27002の改訂版に合わせた附属書Aの構成の見直しです。ISO/IEC 27002:2022が2022年2月に発行されています。附属書AはISO/IEC 27002と同じ項番で構成されているため、改訂版ではISO/IEC 27002:2022に合わせて附属書Aが変更されました。

2013年版では、箇条5~18の14分類の下に、管理目的が35、管理策が114ありましたが、改訂版では管理目的が廃止され、箇条5~8の4分類の下に管理策が93となりました。

改訂版では、114あった管理策が93に減りましたが、廃止された管理策はありません。内訳は、管理策を継承し項番が変わったもの(1:1)が58、複数の管理策が1つにまとめられたもの(N:1)が24、新規に追加された管理策が11です。

< 管理策数の変化と内訳 >
管理策数の変化と内訳
管理策数の変化と内訳
< 新規追加された管理策 >
新規追加された管理策 新規追加された管理策
② 要求事項本文の見直し

2つ目は、要求事項本文(箇条4~10)の見直しです。MSS(Management System Standard)共通テキストの改訂が取り込まれ、ISO/IEC27001固有の変更と正誤票の修正も反映されました。附属書Aの変更に比べると、マネジメントシステムの運用に対する影響は小さいです。

改訂のポイントをまとめた資料「ISO/IEC 27001規格改訂の対応」を作成しました。資料をご希望の方は、お問い合わせページから、「ISO/IEC 27001規格改訂資料希望」と明記の上、お問い合わせください。恐縮ですが、同業者様、士業の方、個人の方のお申し込みはご遠慮ください。

具体的な実施事項

  • ■附属書A関連文書・様式の修正

    附属書Aに関連する「適用宣言書」や「情報セキュリティに関する規程」の内容を修正します。
    2013年版の管理策と改訂版の管理策の関係を対比し、管理策番号の変更や複数の管理策を1つにまとめるなど、既存のルール全体を見直します。さらに、新規追加になる管理策の採否を決め、採用する管理策のルールを定めます。また、管理策番号を記載している他の文書や記録様式の修正も必要です。

  • ■要求事項本文への対応

    要求事項本文を文書化したマネジメントシステムの運用にかかわる文書を修正します。「情報セキュリティ目的に関する記録」や「マネジメントレビューに関する記録」など、本文のルール変更に合わせ、記録様式の見直しも必要です。

  • ■内部監査員の力量を満たす

    内部監査員の力量を高める必要があります。そのための研修の計画や準備、実施が必要です。
    当社では、内部監査員向けの研修もご用意しておりますので、お気軽にお問い合わせください。

  • ■改訂版に対応した運用を行い、移行審査を受ける

    各種文書・記録様式を改訂するだけでは移行は完了しません。改訂した文書・記録様式を用いてISMSを運用し、移行審査を受けなければならず、運用の実績がないと移行審査を受けられません。

改訂版への対応は当社へ!!
改訂版に対応するためには、ISMS認証取得事業者様は規程や様式の見直しが必須です。担当者の方は、通常の運用業務に加えて、情報収集から、慣れない社内規程の見直しまで対応する必要があり、作業工数の増加が想定されます。当社では、以下のコンサルティングメニューをご用意しておりますので、是非、お気軽にお問い合わせください。
改訂版対応
フルコンサルティング
改訂版への文書類見直し支援、運用記録の作成支援、審査の改善対応支援のフルコンサルティングメニューです。
ISMS認証の新規取得を目指す事業者様も、こちらをご検討ください。
ISMS文書改訂支援
コンサルティング
文書類見直しに限定したコンサルティングメニューもご用意しております。
2013年版に準拠したISMS文書を改訂版に対応した文書に見直されたい事業者様におすすめです。
その他、貴社のご要望に応じた支援を実施しております。前任者が退職され、何から取り掛かればよいか分からないなど、ISO/IEC 27001(ISMS)認証に関する困りごとは何でもご相談ください!
ISO/IEC27001(ISMC)認証の規格改訂についてのご相談はこちらへ