【2024最新版】ISMS(ISO27001)改訂の概要とポイントを解説
2022年10月、情報セキュリティマネジメントシステムに関する国際規格のISO27001の改訂が発表され、最新版は「ISO/IEC27001:2022」となりました。発表を受け、現状把握や各種の対応に着手しはじめた企業も多いのではないでしょうか。
そこで本記事では、規格改訂の全体像や今後の移行スケジュールについて解説します。すでに認証を受けている企業やこれから申請を検討している企業の担当者は参考にしてください。
※ちなみに、ISO27001の日本語版規格である「JIS Q 27001」は2023年9月に改訂されています。対訳版ISO27001(ISO27001を日本語訳したもの)とJIS Q 27001に大きな違いはありませんので、ISO27001を参考に対応しましょう。
ISO27001、ISMS認証とは
まずはISO27001やISMS認証について、改めてその用語の意味や仕組みを確認しておきましょう。
用語
- ISO27001・・・組織が情報セキュリティマネジメントシステムを確立し、実施・維持し、継続的に改善するための要求事項を提供することを目的として作成された国際規格
- ISMS・・・Information Security Management System(情報セキュリティマネジメントシステム)の略称で、情報セキュリティを確保するためのリスクを把握し、企業が適切に管理・運用する仕組み
- ISMS認証・・・組織のISMSを第三者認証機関が証明する制度
つまり、企業が情報資産を安全に管理・保護するためのマネジメントシステムが国際規格として定められており、認証によりその安全性を客観的に証明することができるということです。ISMSには様々な規格が存在しており、認証を受けるには機密性、完全性、可用性の3つの要素を担保する体制を構築する必要があります。
ISO27002との関係性
ISO27001は本文(要求事項)と附属書A(管理策)の2種類で構成されています。今回の改訂は附属書Aが主となっていますが、実は附属書Aの理解にはISO27002の活用が不可欠となっています。ISO27001の附属書Aには必要最小限の管理策しか記載されていない一方で、ISO27002はさらに詳細な具体例が記載されているという構造になっています。そのため、ISO27002はISO27001のガイダンス規格とも言われています。そのことを踏まえたうえで、今回の改訂の全体像を見ていきましょう。
ISO27001の規格改訂とその背景について
ISO規格は時代の変化とともに定期的に基準が変化していきます。
社会情勢の変化や技術の進歩に伴い、新しいセキュリティリスクが発生したり、新たな対応方法が生まれることで、規格内容も更新されていきます。
今回のISO27001の規格改訂の背景の一つとしては、“急激なクラウドの普及とプライバシー保護の必要性の高まり”が挙げられます。そもそも、ISO/IEC 27001:2013の要求事項は、自社で情報を運用・管理する概念(いわゆるオンプレ環境)が中心であるとされていました。昨今の急激なクラウドサービスの普及により、ISMS運用と審査基準に、一定の乖離が生じていました。
また、サイバー攻撃の多様化・巧妙化など、新たな脅威に対する管理策もアップデートが必要であった点やEU一般データ保護規則(GDPR)発効等に伴うプライバシー保護への必要性の高まりも影響を受け、従来のISO/IEC 27001:2013の要求事項では同じく一定の乖離が生じてきました。
そして、上記の背景を受け、2013年以来、9年ぶりの改訂となりました。
改訂の全体像(変更点)
今回の主な変更点は、附属書Aの全面改訂です。先だってISO27001のガイダンス規格であるISO27002の改訂は完了しており、今回はその内容変更に合わせた改訂となっています。
具体的には、下記の管理策一覧において、これまで14あったカテゴリが「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の4つに再分類されました。
改訂前
ISO/IEC 27001:2013(114項目) |
A.5 情報セキュリティのための方針群(2項目) |
A.6 情報セキュリティのための組織(7項目) |
A.7 人的資源のセキュリティ(6項目) |
A.8 資産の管理(10項目) |
A.9 アクセス制御(14項目) |
A.10 暗号(2項目) |
A.11 物理的および環境的セキュリティ(15項目) |
A.12 運用のセキュリティ(14項目) |
A.13 通信のセキュリティ(7項目) |
A.14 システムの取得、開発及び保守(13項目) |
A.15 供給者関係(5項目) |
A.16 情報セキュリティインシデント管理(7項目) |
A.17 事業継続マネジメントにおける情報セキュリティの側面(4項目) |
A.18 順守(8項目) |
改訂後
ISO/IEC 27001:2022(93項目) |
組織的な管理策(37項目) |
人的な管理策(8項目) |
物理的な管理策(14項目) |
技術的な管理策(34項目) |
本改訂において、一連のプロセスや運用ルール・年間計画の変更は必要ありません。
具体的には、情報セキュリティ目的や方針の決定、年間運用計画の策定やその実行、内部監査の実行や改善といった一連の活動に大きな変更の必要はありません。また、情報セキュリティリスクに対応するための一連のプロセスにも大きな変更はありません。
新たな11の管理策
また、内容の加筆修正に加え、時代に合わせた11の管理策が新たに盛り込まれていることもポイントです。自社があらためて採用すべき管理策か否かを検討し、採用する場合には、適用宣言書やセキュリティ管理規程の修正なども行う必要があります。
代表的なものを例に挙げると、
・「5.23クラウドサービスの利用における情報セキュリティ」や「8.10情報の削除」などがあります。
前者はクラウドサービスの利用がスタンダードな昨今においては、採用する組織が大半を占めるとされていますし、後者は個人情報保護法やマイナンバー法など関連法案による規制や要求などもあるため、同じく大半の組織が採用することになるでしょう。
なお、本文に関してはISO9001などと同じフォーマットであることから大幅な変更ができない仕様になっています。しかしながら、今回一部修正があるため対応は必要です。
移行期間(スケジュール)
新規格にあたり設けられた移行期間は2022年10月31日から3年間(2025年10月31日まで)です。
まず、現在ISMS認証を取得している企業に関しては、2025年10月31日までに新規格に移行して審査(以下、移行審査)を受ける必要があります。2025年10月31日以降、旧規格は廃版となります。
一般的には、改訂審査は更新審査などの通常審査と一緒に実施されるケースがほとんどです。
移行対応方法
規格改訂に伴う移行審査では、主に以下の実施状況の確認をされると言われているため、必要な対応を検討しましょう。
1.ISO/IEC 27001:2022の改訂におけるギャップ分析と対応方針の決定
2.管理策変更への対応及び(必要に応じた)リスク対応計画の見直し
- ・管理策の見直し及び新規管理策の採否の決定
- ・適用宣言書の変更
- ・リスクアセスメントの実施
3.ISMS 関連文書の見直し
- 規格本文及び管理策(附属書A)の変更対応
4.変更された ISMS の運用及び評価
※上記4の変更部分の運用状況については、内部監査等で確認し、マネジメントレビュー等で、経営陣による評価を受ける必要があります。また、内部監査やマネジメントレビューは、通常サイクルにこだわらず、臨時に実施して頂いても問題ありません。
コンサルティングサービスの活用も一案
ISMS認証には情報資産全般を管理する幅広い知識が必要です。また、移行には多くの工程と時間を要します。そこで昨今では、コンサルティングを受けながら進めることも一つの方法として認知されています。
今回は数あるサービスの中から、多くのコンサルティングの実績を持つ日本パープルの情報セキュリティ教育サービス「Coach Mamoru」をご紹介します。Coach Mamoruでは、ISMS認証取得支援や改訂対応支援を始めとした幅広いコンサルティングを提供しています。専門知識を有したコンサルタントが細かなアドバイスやフォローアップを行います。
他にも、機密情報の管理や従業員教育といった情報セキュリティにまつわる多様なサービスを提供しており、情報セキュリティのプロといえるでしょう。ISMS認証についてお困りの担当者は、一度相談してみてはいかがでしょうか。
改訂に合わせた正しいISMS認証を行おう
すでにISMS認証を取得している企業は情報収集をしつつ、適切に移行を行う準備をしておきましょう。「自社のISMSの有効期限(更新審査のタイミング)」によってはタイトな対応スケジュールになる可能性もありますので、これから準備、申請する企業は、専門家を交えて最適な進め方を見極める必要がありそうです。