(追記)2023年10月20日にJIS Q 27001:2023が正式発表されました。
最新情報は下記をご参照ください。
https://www.pmarknews.info/isms/52176787.html
(画像はISO27001:2022の表紙です)
皆さんこんにちは。
プライバシーザムライ中康二です。
ISMS認証の審査基準となっているISO27001が改訂され、「ISO27001:2022」として、10月25日に正式発表されました(まだ英語版だけです)。本記事では、これに関する最新情報をまとめて、皆様にお知らせします。
なお、正式名称は
------------------------------------------------------------
ISO/IEC 27001:2022
情報セキュリティ,サイバーセキュリティ,プライバシー保護−情報セキュリティマネジメントシステム−要求事項
Information security, cybersecurity and privacy protection - Information security management systems - Requirements
------------------------------------------------------------
となりました。今回から、「情報セキュリティ」「サイバーセキュリティ」「プライバシー保護」が目指すものの3本柱となるようです。
(1)今回の改訂は、附属書Aの全面書き換えです。
今回の改訂は、最近の動向を反映させて、附属書Aを全面的に書き換えることを目的として行われたようです。
管理策(セキュリティ対策の項目)が、「組織的」「人的」「物理的」「技術的」の4つに再構成されました。
また、それぞれの管理策も似たような内容のものが集約/統合され、「クラウドサービス」「データマスキング(匿名化/仮名化)」「ウェブフィルタリング」「セキュアコーディング」など、最新の情報セキュリティの動向や各国の個人情報保護法制などを反映したものが新たに追加されました。
結果として管理策の総数は114個から93個に減少しました。
(2)規格本文はほとんど変わりません。
まだよく精査できていませんが、ISO27001の規格本文はほとんど変更なしです。
というのも、現在のISO27001は、ISO9001(品質)やISO14001(環境)など、同様のマネジメントシステム規格と共通の構造をもつ「共通テキスト」が採用されているため、ISO27001単独で変更できなくなっているからです。
(3)猶予期間は3年間あります。急いで対応する必要はありません。
(画像はISMS-ACの公式Webサイトより)
移行計画について、日本のISMS認証制度を運用しているISMS-ACから正式発表されました。
新しいISO27001:2022に基づく審査は、認証取得審査/移行審査の双方について、正式発表された10月25日から(制度上は)開始されているとのことです。
そして、古いISO27001:2013に基づく認証取得審査は10月25日の月末を起点として1年間続けられるとのことです(2023年10月31日が最後)。
認証取得済みの組織に対しては、3年間の移行期間が設けられ、10月25日の月末を起点として3年間のうちに移行審査を受ける必要があるとのことです(2025年10月31日が最後)。
日本語版(JIS Q 27001:2022?)が出てないじゃないかと思われると思いますが、ISMSの審査基準は正式には英語版のISO27001なので、そういうもののようです。
ISO/IEC 27001:2022(日本での販売サイト)
https://webdesk.jsa.or.jp/books/W11M0090/index/?bunsyo_id=ISO%2FIEC+27001%3A2022
(対訳版は11月中に出るそうです)
ISMS-ACによる移行計画の説明
https://isms.jp/topics/news/20221025.html
(私のコメント)
結論として、今回は、附属書Aが全面改訂されましたので、適用宣言書も全面改訂が必須になりますが、御社の情報セキュリティ規程を全面的に書き換えなければならないという性格の改訂ではありません。また、急いで新規格に対応しないと、自社が情報セキュリティに関してやるべきことをやっていないと指摘されるというような性格のものではありません。ご安心ください。
ですから、すでにISMS取得済みの組織の方は、次回審査で対応しなくても、一回見送ってその次の審査で対応しても問題なさそうです。
この情報が皆様にとって何かの参考になればと思います。
また、新しい情報が入りましたら、皆様にシェアいたしますね。
メンバー募集
オプティマ・ソリューションズは、個人情報保護のためにPマーク・ISMSの取得を通して、様々な企業様をサポートするコンサルティング&サービス会社です。未経験者でも大歓迎です!明るく、真剣に打ち込める環境で一緒に働きましょう!✅ Pマーク/ISMSコンサルタント
✅ 営業
✅ 広報
興味がある方、ぜひこちらからご連絡ください!