ISO27001 COLUMNISO規格の知識コラム(ISO27001)

ISO27001 コラム

ISO27001

ISMS(ISO/IEC27001)の2022年版規格改定について詳しく解説します!

2023.07.24
ISMS(ISO/IEC27001)の2022年版規格改定について詳しく解説します!

この記事の3つのポイント

  1. 2022年版改定では管理策構成などに変更有
  2. 移行期間内に移行審査審査の受審が必要
  3. 今後も情報セキュリティの重要性は更に高まっていく見込み

情報セキュリティ管理システムの要件を定めた国際規格であるISMS(ISO/IEC27001)が2022年に規格改定されました。

今回の規格改定は、ISMS(ISO/IEC27001)の関連規格であるISO/IEC27002に改定が加えられ、管理策の構成や内容が大幅に変更されたことで、両規格の整合性を保つためにISMS(ISO/IEC27001)側も改訂または追補発行が必要となったために行われました。

本記事ではこの2022年版のISMS(ISO/IEC27001)規格改定における具体的な変更点や追加された要件について詳しく解説致します。

2022年版ISMS(ISO/IEC27001)規格改定のポイント

先述の通り、ISMS(ISO/IEC27001)の関連規格であるISO/IEC27002に改定が加えられ、管理策の構成や内容に大幅な変更がありました。

これを踏まえてISMS(ISO/IEC27001)ではどのような変更や追加があったのか、詳しく見ていきましょう。

➀項目数の減少

ISMS(ISO/IEC27001):2013(114項目)
→ ISMS(ISO/IEC27001):2022(93項目)

新規格では、管理策の全体数が21個減少していますが、同時に11個の新たな管理策が追加されることになります。

②新たに追加された11の管理策

脅威インテリジェンス(Threat intelligence)
組織に対し、脅威に関する情報を収集・分析し、適切な対策を講じることを求めます。

クラウドサービス利用のための情報セキュリティ(Information Security for Use of Cloud Services)
クラウドサービス内の機密情報の保護やセキュリティ要件の整備を組織に求めます。

事業継続のためのICTの準備(ICT Readiness for Business Continuity)
事業継続のために、必要な情報やシステムを準備することを組織に要求します。

物理セキュリティモニタリング(Physical Security Monitoring)
オフィスや製造施設などの物理的な場所へのアクセス制限を確保することを組織に求めます。

構成管理/コンフィギュレーションマネージメント(Configuration Management)
セキュリティ確保のためにデバイスの構成を管理し、一貫性を維持することを要求します。

情報削除(Information Deletion)
不要なデータや保存期間が経過したデータを削除することを組織に求めます。

データマスキング(Data Masking)
機微情報の保護のためにデータマスキングを導入し、アクセス制限を適用することを要求します。

データ漏洩防止(Data Leakage Prevention)
機微情報の不正公開を防止するためにデータ漏洩防止策の適用を要求します。

アクティビティのモニタリング(Monitoring Activities)
異常な活動の監視を行い、早期にインシデントを検知することを組織に求めます。

Webフィルタリング(Web Filtering)
ユーザーのWebアクセスに対するセキュリティ対策を管理し、ITシステムの保護を確保することを要求します。

セキュアコーディング(Secure Coding)
安全なコーディング技術の確立を組織全体で求め、ソフトウェア開発におけるセキュリティ脆弱性の軽減を要求します。

③管理策14項目から4項目へのグループ分け

管理策14項目から4項目へのグループ分け|組織的(37管理策):組織に関連する管理策が含まれます。/人的(8管理策):人々の行動や関与に関連する管理策が含まれます。/物理的(14管理策):物理的な環境や施設のセキュリティに関連する管理策が含まれます。/技術的(34管理策):技術やシステムに関連する管理策が含まれます。

管理策の数は、114から93へと減少していますが、実際には完全に削除される管理策はありません。
代わりに統合されたり他の形で残るような変更が行われています。

つまり、ルール自体が消えることはなく、マッピングの変更が主な変化となっています。

規格改定の影響と対応策

今回のISMS(ISO/IEC27001)規格改定は、組織にどのような影響を与えるのでしょうか。
また、組織はどのように対応すべきでしょうか。

以下では、改定の影響と対応策について詳細を記載しています。

①移行期間

現在ISMS(ISO/IEC27001)認証を保持している企業には、2025年10月31日までに新規格に移行し、移行審査を受けなくてはなりません。
移行期間内に移行ができなかった場合、ISMS(ISO/IEC27001)認証は無効になる可能性が有る為、注意が必要です。

また、2025年10月31日以降、旧規格は廃版となります。
一般的には、改訂審査は通常の更新審査などと同時に実施されることが多いです。

②移行対応策について

以下の対応を検討する必要があります。
下記は規格改訂に伴う移行審査で主に確認されるとされています。

1)ISMS(ISO/IEC27001):2022の改訂に関するギャップ分析と対応方針の決定

2)管理策の変更への対応と(必要に応じた)リスク対応計画の見直し
・管理策の見直しと新規管理策の採否の決定
・適用宣言書の変更
・リスクアセスメントの実施

3)ISMS関連文書の見直し
・規格本文および管理策(附属書A)の変更への対応

4)変更されたISMS(ISO/IEC27001)の運用と評価
・内部監査などで変更部分の運用状況を確認
・経営陣による評価を含むマネジメントレビュー

GCERTIのISO27001(ISMS)審査は審査がスピーディ・審査料が安い・お客様の負担が少ない

規格改定のメリットと将来展望

ISMS(ISO/IEC27001)規格改定には、組織にとってのメリットが存在します。
また、規格改定を受けて将来的に期待される動向や展望についても考察します。

①情報セキュリティの向上

規格改定により、情報セキュリティの管理体制がより強化されます。
組織は規格改定に基づいた要件を適切に実装することで、より信頼性の高い情報セキュリティ体制を構築することができます。

②国際的な信頼と競争力の向上

ISMS(ISO/IEC27001)規格改定に準拠することで、組織は国際的な信頼を得ることができます。
また、規格改定に適切に対応し認証を取得することで、顧客や取引先からの信頼を高め、競争力を向上させることができます。

将来展望としては、情報セキュリティの重要性がますます高まる中で、ISMS(ISO/IEC27001)規格改定は進行し続けるでしょう。
組織は規格改定に対応するだけでなく、情報セキュリティのトレンドや技術の動向にも常に注意を払い、最新のセキュリティ対策を取り入れることが重要です。

まとめ

ISMS(ISO/IEC27001)規格改定は、情報セキュリティ管理において重要な要素です。
規格改定によって要件やプロセスが変更されるため、組織は改定内容を適切に把握し、適応する必要があります。

ISMS(ISO/IEC27001)認証を維持するにあたって規格改定への対応は避けては通れません。
そのため面倒な作業としてなんとなくやり過ごしてしまうのではなく、規格改定によるメリットを活かしながら情報セキュリティの向上と競争力の強化を図ることで、自社にとってプラスになるようにしていきましょう。

弊社(株式会社GCERTI-JAPAN)では、2022年版ISMS(ISO/IEC27001)規格改定にもしっかりとご対応させていただいております。
規格改定についてご不安やご不明な点がございましたら、お気軽にお問い合わせくださいませ。

ISO27001(ISMS)に関するよくあるご質問

Q情報セキュリティにおけるリスクにはどんなものがありますか?

そもそも情報セキュリティリスクとは、目的に対する不確かな影響のことを指します。
そしてその中でも代表的なリスクとして、「脅威」と「脆弱性」の二つがあります。

「脅威」とは、情報の盗難や不正利用など、情報セキュリティにおけるリスクを発生させる要因のことを言います。

「脆弱性」とは、脅威の発生を誘引するようなセキュリティ対策上の欠落点のことを言います。

QISO27001(ISMS)とPマークとの違いは?

対象となる範囲が異なります。
Pマーク(PMS)は個人情報が対象となり、ISO27001(ISMS)は組織や企業が所持している情報資産(個人情報も含まれうる)が対象となります。

範囲で言うとISO27001(ISMS)の方が多岐にわたります。

QISO27001(ISMS)の重要性は?

ISO27001(ISMS)を認証取得していることは、組織内の仕組み・取り組みの品質保証に繋がります。

情報セキュリティが甘いと攻撃や情報漏洩のリスクが高まります。
そしてそういった事態は一度起こってしまうと取り返しがつかず、組織の信用回復も難しいでしょう。

そのため、行政の入札や大手顧客との取引でISO27001(ISMS)の取得が必須要件とされることが非常に増えてきています。

ISO27001(ISO/IEC27001)は内部の仕組み改善だけでなく、対外的な信用を得る上でも非常に重要な存在としての認識が高まってきています。

  • SNSでシェアする

1分でカンタン!
なんでも質問フォーム

株式会社GCERTI-JAPAN
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。

前田 裕貴
前田 裕貴ISO審査員

何度でもお願いしたくなるような審査を目指し、皆さまには楽しんで参加していただけるよう、柔軟なアプローチで審査を進めています。 お気軽にご相談やご依頼をお寄せいただければ幸いです。皆さまとの審査の時間を楽しみにしています!

お問い合わせはこちら
お問い合わせはこちら
無料お見積もり お問い合わせ

Social media & sharing icons powered by UltimatelySocial