ISO27001:2022 新規格移行コンサルティング
ISO27001の規格が改定されました
2022年2月、ISO/IEC27002:2013が改定され、管理策の構成や内容が大幅に変更されました。 ISO 27002は、ISO 27001の要求事項を遵守するために実施すべき一般的なセキュリティ対策を定義しています。これは実践的な標準ガイドラインとしての役割を果たしています。 両規格の整合性を維持するため、2022年10月にISO/IEC27001:2013が改訂され、最新版は「ISO/IEC27001:2022」となりました。
ISO27001改訂にあたって、お悩みではありませんか?
改訂のポイント
クラウドサービスの普及をはじめとした情報セキュリティ環境の変化を受けて、主に以下の3つのポイントが変更されました。
- ① ISO規格の上位構造との整合性の確保
- ISO9001やISO14001規格などを含むISO規格全体の構造のルール(調和させる構造:Harmonized Structure)との整合性を確保するため、本文の構造が変更されました。
- ② 規格の章立ての変更
- ISO27001の附属書Aの章立てが、13カテゴリから4カテゴリに集約されました。新たなカテゴリは以下の通りです。
5 組織的管理策 / 6 人的管理策 / 7 物理的管理策 / 8 技術的管理策 - ③ 管理策の数の変更
- 一部の管理策が統合されるなどの影響により、ISO27001の附属書Aの管理策数が114個から93個に変更されました。また、情報セキュリティ環境の変化を受けて、11個の管理策が新たに追加されました。なお、新規格で廃止される管理策はありません。具体的な追加ポイントとしては、章立てが14分類(5章~18章)から4分類(5章~8章)に集約され、管理策数は114個から93個に減少しました。しかし実際は、
- 58個が更新
- 24個が統合
- 11個が新規追加
2013年の改訂と2022年の改訂の比較
ここでは、2013年の改訂と2022年の改訂内容を比較して表にしています。
| 改訂版 | ISO 27001:2013 | ISO 27001:2022 |
|---|---|---|
| 管理策の数 | 114 | 93 |
| 管理策の分類 | 14のカテゴリ | 4のカテゴリ (組織的対策、人的対策、 物理的対策、技術的対策) |
| 新しい管理策 | なし | 11 |
| 既存の管理策の更新 | なし | 更新あり |
| リモートワークのサポート | なし | 追加 |
| サステナビリティのサポート | なし | 追加 |
管理策の構成
| 章 | ISO/IEC27002:2013 | 管理策数 |
|---|---|---|
| 5. | 情報セキュリティのための方針群 | 2 |
| 6. | 情報セキュリティのための組織 | 7 |
| 7. | 人的資源のセキュリティ | 6 |
| 8. | 資産の管理 | 10 |
| 9. | アクセス制御 | 14 |
| 10. | 暗号 | 2 |
| 11. | 物理的及び環境的セキュリティ | 15 |
| 12. | 運用のセキュリティ | 14 |
| 13. | 通信のセキュリティ | 7 |
| 14. | システムの取得、開発及び保守 | 13 |
| 15. | 供給者関係 | 5 |
| 16. | 情報セキュリティインシデント管理 | 7 |
| 17. | 事業継続マネジメントにおける情報セキュリティの側面 | 4 |
| 18. | 順守 | 8 |
| 合計 | 114 |
| 章 | ISO/IEC27002:2022 | 管理策数 |
|---|---|---|
| 5. | 組織的管理策 (Oraganisational controls) |
37 |
| 6. | 人的管理策 (People controls) |
8 |
| 7. | 物理的管理策 (Physical controls) |
14 |
| 8. | 技術的管理策 (Technical controls) |
34 |
| 合計 | 93 |
新しく追加された管理策
新しく追加された管理策には、クラウドサービスなど最新のITサービスや情報セキュリティの動向、個人情報保護規定などが反映されています。
| 章 | 新規追加された管理策 |
|---|---|
| 5. | 組織的管理策:3つ |
| 5.7 脅威インテリジェンス | |
| 5.23 クラウドサービス利用における情報セキュリティ | |
| 5.30 事業継続のためのICTの備え | |
| 7. | 物理的管理策 : 1つ |
| 7.4 物理的セキュリティの監視 | |
| 8. | 技術的管理策 : 7つ |
| 8.9 構成管理 | |
| 8.10 情報の削除 | |
| 8.11 データマスキング | |
| 8.12 データ漏洩防止 | |
| 8.16 監視活動 | |
| 8.23 ウェブ・フィルタリング | |
| 8.28 セキュリティに配慮したコーディング |
移行審査スケジュール
2022年11月よりISO/IEC27001:2022の審査が開始されました。ISO/IEC 27001:2013を取得されている企業は、最新の規格であるISO/IEC 27001:2022への移行が必要となります。移行期限までに最新の要求事項への対応を実施し、移行審査を受審しなければなりません。移行期間は3年間で、最終期限は2025年10月31日です。この期限以降、ISO/IEC 27001:2013は廃盤となります。
移行手順
移行審査は単独でも受審できますが、定期審査や更新審査と同時実施も可能です。
移行に際しては次のような手順で対応が必要となります。移行審査に向けて、社内のリソースの割り当てを行い、計画的に対応を進めましょう。
- 管理策の変更点を把握し、既存のISMSとの差異分析を行う
- 差異への対応方針を決定する
- 対応方針に基づき、移行計画を作成し、ISMS関連文書の見直しを行う
- 変更されたISMSの運用と評価を行う
MASONのサービスプラン
ISO27001:2022規格移行のためのアクションステップ
- アクション1 ISO27001:2022規格の概要と重要性の理解
- ISO27001:2022の最新規格について、その背景、主要な更新点、及びこれらの変更に適応するために必要な行動指針を学習します。
- アクション2 自社のセキュリティポリシーと新規格との整合性分析
- 新規格と自社のセキュリティポリシーを比較分析するための「整合性分析表」を作成し、現状の適合度を評価します。
- アクション3 改訂必要箇所の特定と対策計画の策定
- ISO27001:2022の要点と主要変更に基づき、文書の改訂が必要な箇所を特定し、適切な対策を計画します。
- アクション4 新管理策(11項目)への対応策の策定
- 11の新しい管理策に対し、要求事項の理解、目的、背景、そして具体的な対応策について学びます。適切な対応例と避けるべき例を参考に、社内ルールの策定を行います。
- アクション5 適用宣言書の更新
- 新規格への対応を公式に宣言するため、理由や具体的な適用・除外項目が記載された「適用宣言書」を更新します。
- アクション6 文書の見直しから審査までの準備
- セキュリティポリシーの見直しと更新後、認証取得のための審査をスムーズに進行させるための準備を行います。社内でのセキュリティ教育や内部監査の実施を計画し、実行します。
当社はお客様のご要望にそったサービスをご提供させて頂いております。まずはお電話下さい。
- お電話によるお問い合わせ・ご相談03-6425-6735受付時間: 9:00~18:00
- メールによるお問い合わせ・ご相談・お見積り依頼はこちら
