JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説6「9.パフォーマンス評価」
JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説6「9.パフォーマンス評価」
情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。JIS版は日本語表記です。
このコラムでは、旧規格であるJIS Q 27001:2014(ISO/IEC27001:2013)からJIS Q 27001:2023(ISO/IEC27001:2022)への改訂にあたっての変更点を順次解説します。
前回5回目のテーマ「8.運用」に引き続き、改訂解説6回目のテーマは、「9.パフォーマンス評価」です。「9.1監視、測定、分析及び評価」「9.2内部監査」「9.3 マネジメントレビュー」に変更点があります。それぞれの変更点を解説いたします。
「9.1監視、測定、分析及び評価」の変更点
注記だった内容が、本文の要求事項に組み込まれました。この変更では、注記が本文に組み込まれたのみであり、趣旨の変更はありません。
なお、「比較可能で再現可能」は、再現を可能とするために手順や基準を定め、結果を比較可能とするために数値等で算出できるようにすることを意味しております。
また、本項でも「文書化した情報を保持しなければならない」が「文書化した情報を利用可能な状態にしなければならない」に変更されていますが、趣旨は6.2の内容と同じです。
この変更で何をしたらいいのか?
元々注記として存在していたので、注記を意識してISMSを構築していた場合、追加のタスクは発生しないと思われます。ただし、監視、測定、分析及び評価の方法が適切でない場合(比較不可能、再現不可能等)、指摘事項となる可能性があるため、念のために手順や基準を見直しすることをお奨めします。
「9.2内部監査」の変更点
箇条9.2のみであった項番でしたが、JIS Q 27001:2023では9.2の前半を「9.2.1 一般」、9.2の後半を「9.2.2 内部監査プロセス」に分割されました。ただし、表現に若干の変更はあるものの、趣旨は同じなので実態上の影響はありません。
なお、本項でも「文書化した情報を保持しなければならない」が「文書化した情報を利用可能な状態にしなければならない」に変更されていますが、趣旨は6.2の内容と同じです。
この変更で何をしたらいいのか?
規格項番に忠実に文書を策定するのであれば変更してもよいのですが、実態上の影響は無いのでそのままでも支障はありません。
「9.3 マネジメントレビュー」の変更点
「9.2内部監査」と同じく、JIS Q 27001:2014では9.3のみであった項番が、JIS Q 27001:2023では「9.3.1 一般」「9.3.2 マネジメントレビューのインプット」「9.3.3 マネジメントレビューの結果」に分割されました。
また、「9.3.2マネジメントレビューのインプット」に、新たにc)が追加されました。この追加では、「4.2利害関係者のニーズ及び期待の理解」の結果(利害関係者とそのニーズや期待)の変化をマネジメントレビューのインプット(トップマネジメントへの報告内容)に含めることを要求しています。
なお、この要求事項で分かるようにニーズや期待は変化する前提であるため、利害関係者のニーズや期待は更新し易い様式に特定するほうが望ましいと考えられます(規程上などに直接特定するとニーズや期待の変化を反映する手間が大きくなります)。
なお、本項でも「文書化した情報を保持しなければならない」が「文書化した情報を利用可能な状態にしなければならない」に変更されていますが、趣旨は6.2の内容と同じです。
この変更で何をしたらいいのか?
マネジメントレビューのインプット項目を規定等に明記している場合は、項目の追加が無難です。また、マネジメントレビューの記録様式にインプット項目の欄を設けている場合は、様式の改定(欄の追加)が無難です。
ISMSを2022年版(JIS Q 27001:2023)に移行するための主なタスクなど、移行の詳細は、JIS Q 27001:2023(ISO/IEC27001:2022)への移行支援のご案内をご覧ください。
次回は、「10.改善」の変更内容を解説いたします。
まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください
受付時間:平日 9:00~18:00