ISO27001 COLUMNISO規格の知識コラム(ISO27001)

ISO27001 コラム

ISO27001

ISMS(ISO/IEC27001)の2022年版規格改定について詳しく解説します!

2023.07.24
ISMS(ISO/IEC27001)の2022年版規格改定について詳しく解説します!

この記事の3つのポイント

  1. 2022年版改定では管理策構成などに変更有
  2. 移行期間内に移行審査審査の受審が必要
  3. 今後も情報セキュリティの重要性は更に高まっていく見込み

情報セキュリティ管理システムの要件を定めた国際規格であるISMS(ISO/IEC27001)が2022年に規格改定されました。

今回の規格改定は、ISMS(ISO/IEC27001)の関連規格であるISO/IEC27002に改定が加えられ、管理策の構成や内容が大幅に変更されたことで、両規格の整合性を保つためにISMS(ISO/IEC27001)側も改訂または追補発行が必要となったために行われました。

本記事ではこの2022年版のISMS(ISO/IEC27001)規格改定における具体的な変更点や追加された要件について詳しく解説致します。

ISO・ISMS審査に関するご質問は
お気軽にお問い合わせください!
お問い合わせフォーム

2022年版ISMS(ISO/IEC27001)規格改定のポイント

先述の通り、ISMS(ISO/IEC27001)の関連規格であるISO/IEC27002に改定が加えられ、管理策の構成や内容に大幅な変更がありました。

これを踏まえてISMS(ISO/IEC27001)ではどのような変更や追加があったのか、詳しく見ていきましょう。

➀項目数の減少

ISMS(ISO/IEC27001):2013(114項目)
→ ISMS(ISO/IEC27001):2022(93項目)

新規格では、管理策の全体数が21個減少していますが、同時に11個の新たな管理策が追加されることになります。

②新たに追加された11の管理策

脅威インテリジェンス(Threat intelligence)
組織に対し、脅威に関する情報を収集・分析し、適切な対策を講じることを求めます。

クラウドサービス利用のための情報セキュリティ(Information Security for Use of Cloud Services)
クラウドサービス内の機密情報の保護やセキュリティ要件の整備を組織に求めます。

事業継続のためのICTの準備(ICT Readiness for Business Continuity)
事業継続のために、必要な情報やシステムを準備することを組織に要求します。

物理セキュリティモニタリング(Physical Security Monitoring)
オフィスや製造施設などの物理的な場所へのアクセス制限を確保することを組織に求めます。

構成管理/コンフィギュレーションマネージメント(Configuration Management)
セキュリティ確保のためにデバイスの構成を管理し、一貫性を維持することを要求します。

情報削除(Information Deletion)
不要なデータや保存期間が経過したデータを削除することを組織に求めます。

データマスキング(Data Masking)
機微情報の保護のためにデータマスキングを導入し、アクセス制限を適用することを要求します。

データ漏洩防止(Data Leakage Prevention)
機微情報の不正公開を防止するためにデータ漏洩防止策の適用を要求します。

アクティビティのモニタリング(Monitoring Activities)
異常な活動の監視を行い、早期にインシデントを検知することを組織に求めます。

Webフィルタリング(Web Filtering)
ユーザーのWebアクセスに対するセキュリティ対策を管理し、ITシステムの保護を確保することを要求します。

セキュアコーディング(Secure Coding)
安全なコーディング技術の確立を組織全体で求め、ソフトウェア開発におけるセキュリティ脆弱性の軽減を要求します。

③管理策14項目から4項目へのグループ分け

管理策14項目から4項目へのグループ分け|組織的(37管理策):組織に関連する管理策が含まれます。/人的(8管理策):人々の行動や関与に関連する管理策が含まれます。/物理的(14管理策):物理的な環境や施設のセキュリティに関連する管理策が含まれます。/技術的(34管理策):技術やシステムに関連する管理策が含まれます。

管理策の数は、114から93へと減少していますが、実際には完全に削除される管理策はありません。
代わりに統合されたり他の形で残るような変更が行われています。

つまり、ルール自体が消えることはなく、マッピングの変更が主な変化となっています。

規格改定の影響と対応策

今回のISMS(ISO/IEC27001)規格改定は、組織にどのような影響を与えるのでしょうか。
また、組織はどのように対応すべきでしょうか。

以下では、改定の影響と対応策について詳細を記載しています。

①移行期間

現在ISMS(ISO/IEC27001)認証を保持している企業には、2025年10月31日までに新規格に移行し、移行審査を受けなくてはなりません。
移行期間内に移行ができなかった場合、ISMS(ISO/IEC27001)認証は無効になる可能性が有る為、注意が必要です。

また、2025年10月31日以降、旧規格は廃版となります。
一般的には、改訂審査は通常の更新審査などと同時に実施されることが多いです。

②移行対応策について

以下の対応を検討する必要があります。
下記は規格改訂に伴う移行審査で主に確認されるとされています。

1)ISMS(ISO/IEC27001):2022の改訂に関するギャップ分析と対応方針の決定

2)管理策の変更への対応と(必要に応じた)リスク対応計画の見直し
・管理策の見直しと新規管理策の採否の決定
・適用宣言書の変更
・リスクアセスメントの実施

3)ISMS関連文書の見直し
・規格本文および管理策(附属書A)の変更への対応

4)変更されたISMS(ISO/IEC27001)の運用と評価
・内部監査などで変更部分の運用状況を確認
・経営陣による評価を含むマネジメントレビュー

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

規格改定のメリットと将来展望

ISMS(ISO/IEC27001)規格改定には、組織にとってのメリットが存在します。
また、規格改定を受けて将来的に期待される動向や展望についても考察します。

①情報セキュリティの向上

規格改定により、情報セキュリティの管理体制がより強化されます。
組織は規格改定に基づいた要件を適切に実装することで、より信頼性の高い情報セキュリティ体制を構築することができます。

②国際的な信頼と競争力の向上

ISMS(ISO/IEC27001)規格改定に準拠することで、組織は国際的な信頼を得ることができます。
また、規格改定に適切に対応し認証を取得することで、顧客や取引先からの信頼を高め、競争力を向上させることができます。

将来展望としては、情報セキュリティの重要性がますます高まる中で、ISMS(ISO/IEC27001)規格改定は進行し続けるでしょう。
組織は規格改定に対応するだけでなく、情報セキュリティのトレンドや技術の動向にも常に注意を払い、最新のセキュリティ対策を取り入れることが重要です。

まとめ

ISMS(ISO/IEC27001)規格改定は、情報セキュリティ管理において重要な要素です。
規格改定によって要件やプロセスが変更されるため、組織は改定内容を適切に把握し、適応する必要があります。

ISMS(ISO/IEC27001)認証を維持するにあたって規格改定への対応は避けては通れません。
そのため面倒な作業としてなんとなくやり過ごしてしまうのではなく、規格改定によるメリットを活かしながら情報セキュリティの向上と競争力の強化を図ることで、自社にとってプラスになるようにしていきましょう。

弊社(株式会社GCERTI-JAPAN)では、2022年版ISMS(ISO/IEC27001)規格改定にもしっかりとご対応させていただいております。
規格改定についてご不安やご不明な点がございましたら、お気軽にお問い合わせくださいませ。

  • SNSでシェアする

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

前田 裕貴
前田 裕貴ISO審査員

何度でもお願いしたくなるような審査を目指し、皆さまには楽しんで参加していただけるよう、柔軟なアプローチで審査を進めています。 お気軽にご相談やご依頼をお寄せいただければ幸いです。皆さまとの審査の時間を楽しみにしています!

お問い合わせはこちら
お問い合わせはこちら
お見積もり依頼 お問い合わせ

Social media & sharing icons powered by UltimatelySocial