(追記)2023年10月20日にJIS Q 27001:2023が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52176787.html
(追記)2022年10月25日にISO27001:2022が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52164620.html
(画像はISO27001:附属書A予想版より)
皆さんこんにちは。
プライバシーザムライ中康二です。
ISMS認証の審査基準となっているISO27001の改訂作業が進んでおり、まもなくISO27001:2022年版として(10月にも)正式に発表される予定となっております。このことについて、皆様に情報をまとめてお知らせしたいと思います。
(1)改訂されるのは、ほぼ附属書Aのみです。
今回の改訂は、附属書AのもとになっているISO27002の改訂に基づくもので、ISO27002:2022は既に2月に正式発表されたものです。この改訂に合わせて、ISO27001の附属書Aが改訂されるということです。ですから、改訂されるのはほぼ附属書Aのみであり、既にほとんど内容は確定しています。
なお、規格本文は、ISO9001などと同じフォーマットになっており、勝手に変更することもできないようで、わずかな修正となるようです。
(2)附属書Aの管理策が「組織的」「人的」「物理的」「技術的」の区分に再構成されます。
詳細は、ISO27001:附属書A(予想版)を見ていただきたいのですが、今回の改訂では、附属書Aの管理策(セキュリティ対策の項目)が、おなじみの「組織的」「人的」「物理的」「技術的」の区分に再構成され、大変分かりやすく整理されました。
内容的には、前回の改訂時には盛り込まれていなかった「クラウドサービス」という言葉が盛り込まれたり、各国の個人情報保護法制に対応するべく「データマスキング(匿名化/仮名化)」という概念を含めたり、また「テレワーク」が「リモートワーク」になるなど、現在の情報セキュリティを取り巻く変化に対応するものとなっています。
また、以前からある管理策も、似たような内容のものは統合/集約されており、最終的に管理策の総数は114個から93個に減少しました。
(3)猶予期間は3年間あります。急いで対応する必要はありません。
ISO27001:2022の正式発表は、10月になる見込みで、(ISMSの前例に基づくと)理論上はその日から対応した審査が開始されることになると思われます。
いや、日本語版(JIS Q 27001:2022?)が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。
ただし、猶予期間が3年間設定されることになりそうです。つまり、2022年10月に新規格が出たとして、2025年10月の審査までに対応できればいいということになります。
また、今回は、附属書Aが改訂されるということですから、適用宣言書の全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。
ISO/IEC 27002:2022
https://www.iso.org/standard/75652.html
ISO/IEC 27002:2022(日本での販売サイト)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27002%3A2022
(私のコメント)
最後にも書きましたが、すでにISMS取得済みの事業者の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。
この情報が皆様にとって何かの参考になればと思います。
また、新しい情報が入りましたら、皆様にシェアいたしますね。