ISO/IEC27001の2022年改訂版への移行について

ISO/IEC27001の2022年改訂版が発行され、新規格への移行審査も始まりました。また、2023年9月にJIS版(JIS Q 27001:2023となります)も発行されました。

なお、2025年10月末をもって2013年版が失効しますので、認証を維持するのであればそれまでにISMSに2022年版を適用し、移行を完了する必要があります。

当社では、ISO/IEC27001の2013年版から2022年版への移行に関するご相談・コンサルティング支援を承っておりますので、お気軽にご連絡ください。

2022年版への移行期間と期限

規格要求事項には定期的な改訂があり、改訂版が発行されてから一定期間が経過すると、旧版を適用した認証登録は失効してしまいます。改訂の内容に応じて移行期間が設定されますが、今回のISO/IEC27001:2022の移行期間は、発行日から3年とされています。

正確な移行期間は、次の図のように、2022年10月25日から2025年10月31日までです。

移行期間と期限

なお、2023年5月以降に再認証審査を受審する場合、2022年版での受審が必要です。再認証審査ではない定期審査の場合は、2024年5月以降も2013年版での受審が可能です。

ISO/IEC27001:2022改訂での変更点

ISO/IEC27001:2022改訂では、本文と附属書Aの変更点がございます。それぞれ主な変更点をご説明いたします。

1. 本文の変更点

本文の変更点は、次の2点です。

  1. 1.要求事項の追加・変更
  2. 2.要求事項の項番変更

複数の細かい変更や追加がありますが、明確に追加作業が必要なのは、9.3.2「マネジメントレビューへのインプット」です。ただし、8.1「運用の計画策定及び管理」は現状の管理対象が委託業務だけの場合は見直しが必要です。

本文の主な改訂

本文の主な改訂は、次の表の通りです。

項番 要求事項 概要 影響度
4.1 組織及びその状況の理解 注記の変更のみ 影響小
4.2 利害関係者のニーズ及び期待の理解 ISMSにおいて取り組む対象を特定する旨の追加 影響小
4.4 情報セキュリティマネジメントシステム 要求の明確化 影響小
5.1 リーダーシップ及びコミットメント 注記の追加のみ 影響小
5.3 組織の役割、責任及び権限 役割、責任、権限を伝達する対象の明確化 影響小
6.1.3 情報セキュリティリスク対応 注記の表現変更のみ 影響小
6.2 情報セキュリティ目的及びそれを達成するための計画策定 情報セキュリティ目的の条件追加 注意
6.3 変更の計画策定 新設 注意
7.4 コミュニケーション 要求の表現変更 影響小
8.1 運用の計画策定及び管理 管理対象の明確化 注意
9.1 監視、測定、分析及び評価 2013年版注記の本文組み入れのみ 影響小
9.2 内部監査 要求事項の分割 影響小
9.3.2 マネジメントレビューへのインプット インプットの追加 要注意
10.1 継続的改善 項番の順序変更のみ 影響小

2. 附属書Aの変更点

管理策の統合と追加 (2013年版:114 ⇒ 2022年版:93)

統合により32個の管理策が削減され11の管理策が追加されました。2022年版の改訂では、完全に消滅した管理策は無いため、総数は減りましたが実質的には管理策が追加されたのみとなります。

附属書Aの構成変更

付属Aの構成が、次の図に示すように、2013年版で18カテゴリー114の管理策だったものが、4カテゴリー93の管理策に再編されました。

附属書Aの構成変更

附属書Aの管理策のカテゴリー再編

付属Aの管理策カテゴリーが再編されました。その概要をご説明いたします。

5. 組織的管理策

「6.人的管理策」「7.物理的管理策」「8.技術的管理策」のいずれにも該当しない管理策が全てこの「5.組織的管理策」にカテゴライズされています。

6.人的管理策

個人に関係する管理策がカテゴライズされていて、2013年版の「A.7 人的資源のセキュリティ」を中心とした管理策で、雇用前(人員の選考など)、雇用中(教育訓練や懲戒)、雇用終了時(雇用終了時の責任や義務)の管理策などが該当します。また、秘密保持、リモートワーク、セキュリティ事象や弱点の報告なども該当します。

7.物理的管理策

物理的対象に関係する管理策がカテゴライズされていて、2013年版の「A.11 物理的及び環境的セキュリティ」を中心とした管理策で、入退管理、ケーブルの保護といった管理策などが該当します。また、「A.8 資産の管理」に含まれていた媒体の取扱いに関する管理策も含まれています。

8.技術的管理策

システム、ネットワークの管理等、技術に関係する管理策がカテゴライズされていて、2013年版の「A.9 アクセス制御」「A.10 暗号」「A.12 運用のセキュリティ」「A.13 通信のセキュリティ」「A.14 システムの取得・開発及び保守」を中心とした管理策です。

附属書Aの新設管理策

付属Aに新しく管理策が新設されました。この改訂に伴い、審査の項目が増えます。

5.7 脅威インテリジェンス 脅威に関する情報収集と分析
5.23 クラウドサービス利用における情報セキュリティ 情報セキュリティの要求をふまえたクラウドサービス利用から終了までの一連プロセス構築
5.30 事業継続のためのICTの備え 事業継続のためのICTに関する日常の備えと有事の際の計画の試験
7.4 物理的セキュリティの監視 物理的な監視体制の構築、運用
8.9 構成管理 システムの構成定義と管理
8.10 情報の削除 不要となった情報の削除手順策定、運用
8.11 データマスキング データの一部削除、匿名化手順の策定、運用
8.12 データ漏えいの防止 データ受け渡しプロセスの監視、記憶媒体の利用制限、複製の作成制限等
8.16 監視活動 ネットワーク、システム上の監視体制の構築、運用
8.23 ウェブフィルタリング 外部ウェブサイトへのアクセス制限
8.28 セキュリティに配慮したコーディング コーディングルールの策定と運用(主に開発会社向け)

ISMSを2022年版(JIS Q 27001:2023)に移行するための主なタスク

ISO/IEC27001の2013年版(JIS Q 27001:2014)から2022年版(JIS Q 27001:2023)への改訂に伴い、ISMSを移行するための主なタスクと必要性についてご説明いたします。

内容 必要性
1 2013年版と2022年版の差分理解 必須
2 規程等の改定①(「4.2」「4.4」「5.3」「6.2」「6.3」「7.4」「8.1」「9.1」「9.3.2」「10」の反映) ほぼ必須
3 利害関係者のニーズ及び期待の見直しと取り組み対象の見直し 現状によっては不要
4 リスク分析とリスク対応の再検討(管理策の再検討)と必要な場合はリスク対応計画の策定 必須
5 規定等の改定②(附属書A管理策の反映) 必須
6 適用宣言書の様式改定と内容更新 必須
7 目標の進捗管理 現状によっては不要
8 記録類の保管方法見直し 現状によっては不要
9 管理対象となる製品やサービスの見直し、管理方法の検討と実施 現状によっては不要
10 内部監査員の教育訓練(2022年版の要求事項理解)※1と併せての実施も可 必須
11 2022年版を適用した内部監査の実施 必須
12 マネジメントレビューの記録様式変更とインプットの追加 現状によっては不要(必要の可能性大)
13 2022年版を適用したマネジメントレビューの実施 必須

ISO/IEC27001:2022移行よくあるご質問Q&A

Q. 移行審査とは何ですか?

規格が改訂されると、旧規格を適用した認証は、一定時期が来ると無効になります。そのため、一定の期間内に改定版の規格を適用した審査を受ける必要があります。その審査を「移行審査」と呼ぶことが多いです。

Q. 移行期限はいつですか?

最終的な移行期限は、2025年10月31日となります。

ただし、期限前であっても2024年5月以降に再認証審査(更新審査)を受審する場合は、必ず2022年版の適用を求められます。再認証審査ではなく定期審査の場合は2024年5月以降も受審可能です。

Q. 移行期間は何年でしょうか?

一般的に、移行期間は規格の発行から約3年のことが多いです。ただし、内容によってはもっと短いケースもあります。

Q. 移行期限を過ぎてしまったら、認証はどうなりますか?

2013年版(JIS Q 27001:2014)での認証登録は失効します。

Q. 移行審査までに何をしなければ、いけませんか?

大まかに申し上げると、2022年版を適用したISMSのPDCAを一巡させる必要があります。具体的には、ISMSを2022年版(JIS Q 27001:2023)に移行するための主なタスクをご覧ください。

Q. 2022版の新規格に移行するためのコンサルティング支援をお願いできますか?

もちろん承ります。

移行のためのコンサルティング支援の概要

当社では、ISO/IEC27001の2013年版から2022年版への移行に関するご相談・コンサルティング支援を承っています。概要は以下の通りです。

1.構築されたISMS、文書内容の確認

過去に支援させていただいたことが無いお客様、もしくは、直近の支援から長時間経過しているお客様の場合、あらためて現行のISMS構築内容、文書の体系、構成及び量を確認させていただきます。

2.基本文書(規格要求本文を反映した文書類)の改定

規格要求事項本文の改訂箇所を解説し、対応文書改定のための助言を提供したうえで、成果物をレビューします。または、弊社で改定案を策定し、読み合わせを行い、規格要求事項本文の改訂箇所を解説します。

3.リスク対応及び適用宣言書の見直し

2022年版附属書Aの内容を解説し、管理策の採否について助言を提供します。また、更新された適用宣言書をレビューします。なお、新たな適用宣言書の様式は3で提供します。

4.附属書Aを反映した文書の改定

附属書Aを反映した文書(安全管理系の規程等)の改定のための助言を提供したうえで、成果物をレビューします。または、弊社で改定案を策定し、読み合わせを行います。なお、この場合、改定方針(既存文書をベースにするのか、新たな文書に差し替えるのか等)によって支援負荷が変動します。

5.内部監査員の養成

2013年版との要求事項差分を解説します。3の関連要求事項解説と統合することも可能です。

6.内部監査

ご要望に応じて内部監査に立ち会い、指導させていただきます。または、内部監査メンバーとして内部監査に参加し、代行させていただきます。

以上に加え、審査前の想定質疑とその応答例の案内、審査指摘事項の対応支援なども承っております。また、通常のISMS運用支援(例えば進捗確認や定期従業者教育等)と合わせてご提供することもできます。

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

受付時間:平日 9:00~18:00