ISO27001 情報セキュリティ 改訂情報

ISO27001改訂の情報

2022年10月25日にISMS適合性評価制度の適用規格であるISO/IEC 27001:2022「情報セキュリティマネジメントシステム」が発行されました。 この規格は、JISQ27001:2014(ISO/IEC 27001:2013)が改訂され、認証企業は3年以内に新規格に移行する必要があります。

1.認証の移行について

移行期間は、規格発行月の月末(2022年10月31日)を起点とし、それから3年間(2025年10月31日まで)です。
*具体的な移行対応の審査日程は直接審査機関にお問い合わせください。

2.初回認証審査について

JIS Q 27001:2014(ISO/IEC 27001:2013)を認証基準とした初回認証審査が行えるのは、規格発行月の月末(2022年10月31日)を起点とし、それから1年間(2023年10月31日まで)です。

移行審査を受けるにあたっては、ISMS(情報セキュリティマネジメントシステム)を改訂版ISO27001に準拠したシステムに変更し、運用している実績(内部監査、マネジメントレビュー)が必要となります。 また、運用開始時には、改めてISMSの社員教育や内部監査員への教育も必要となります。

推奨する改訂対応

以下を考慮し、移行期間内(2025年10月まで)に、移行審査を受審し、新規格での認証が得られるように計画的に作業ください。

  1. 情報セキュリティマニュアル及び関連文書・記録様式をISO27001:2022に合わせて全面的に改訂する。
  2. 新ISMSを運用して内部監査、マネジメントレビューを実施し、移行審査に備える。

*移行対応後の審査時期は直接審査機関にお問い合わせください。

テクノソフトでは、今後これらの改訂対応の情報発信・支援・アドバイスを実施して参ります。

ISO/IEC 27001:2013移行支援

1.ISO27001:2013の発行と移行期間

2013年10月1日に、ISO/IEC 27001:2005 情報セキュティマネジメントシステム-要求事項 の改正版にあたるISO/IEC 27001:2013が発行されました。

一般財団法人日本情報経済社会推進協会(JIPDEC)の発表では、2015年10月1日までにISO27001:2013への移行を完了する必要があります。

 

2.ISO27001:2013の概要

ISO27001:2013は、ISOマネジメントシステムの規格構成の共通化ルール(MSS共通要求事項又はHLSと呼ばれる)を採用して開発され、箇条4~10で構成されています。(※太字赤字箇所が、ISO27001独自の要求事項

ISO/IEC 27001:2013 の構成
0. 序文
1. 適用範囲
2. 引用規格
3. 用語及び定義
4. 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5. リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6. 計画
6.1 リスク及び機会への取り組み
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画
7. 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化した情報の管理
8. 運用
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
9. パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A(規定)管理目的及び管理策

 

ISO27001:2013は、2005年版のISO27001の基本的な取り組みを変更するものではなく、他のISOマネジメントシステムの規格構成の共通化に伴い、全体的に強化・明確化されているのが特徴で、主な改正点は、以下の通りです。

3.ISO27001:2013移行への対応準備

ISO 27001:2013で、現行の情報セキュリティマネジメントシステム(ISMS)の基本的な取り組みが大きく変更されることはありませんが、移行に際して以下のような対応が必要となります。

<必須>
1.
ISMSマニュアルと適用宣言書をISO 27001:2013に合わせて全面的に改訂する。
2.
ISO 27001:2013に適合したISMSを運用して、情報セキュリティ目的(目標)の管理、教育訓練、内部監査、マネジメントレビューを実施する。

<推奨>

3.

現行のセキュリティ対策と附属書Aを比較し、情報セキュリティ関連規定を改訂する。
4.
ISO 27001:2013に合わせてISMSを変更するだけではなく、運用上のムリやムダのないマネジメントシステムにリフォームする。たとえば、リスクアセスメントの要求事項については一般化され自由度が高まったので、実施や見直しがやりやすいように手順を見直すなどです。

 

4.テクノソフトのISO27001:2013移行支援

テクノソフトでは、ISO27001:2013への移行支援を実施いたします。下記の支援項目についてご希望内容をご確認いただき、お問合せください。
内容の詳細を決定し、支援費用を見積ります。また、支援費用とは別に訪問にかかる交通費等(実費)をいただく場合があります。