2022年2月に、ISMSの規格である ISO/IEC 27001の関連規格である「ISO/IEC 27002」が改訂され、その後2022年10月にISMS規格の「ISO/IEC 27001」が改訂されました。
ISO27002はISO/IEC 27001附属書Aの管理策の導入・運用を手助けするためのガイダンスの位置づけであり、今回の改訂でISO27002との整合性も調整されています。
ISO27001の日本語版ともいえるJIS Q 27001の改訂は2023年9月20日に発表されています。
ISO27001 2022規格改訂の背景
2022年にISMS規格が改訂された背景には、現代の技術革新とサイバーセキュリティ上の課題が深く関わっています。この改訂は、特に以下の点を踏まえて行われました。
クラウドとAIの急速な発展
クラウドとAI技術が飛躍的に進化する中で、これらの技術がもたらすセキュリティリスクもまた複雑化しています。新たな脅威に効果的に対抗するために、ISMS規格ではこれらの進展を踏まえたリスク管理策の更新が図られました。
サイバー攻撃の増加と洗練化
サイバー攻撃の手口は日々巧妙化しており、企業はより高度な対策を迫られる状況にあります。この改訂では、これらの高度な脅威に対応するための強化措置が取り入れられました。
プライバシー保護の強化
個人情報保護の重要性が高まる中、企業にはデータプライバシーに対するより厳格な取り組みが求められています。新規格では、個人情報のセキュリティを確保するための基準が更新・強化されました。これらの動きを受け、ISMS規格ではクラウドセキュリティ、AIにおけるセキュリティ対策、サイバー攻撃からの保護、そしてプライバシー保護の各分野で、時代の要請に合わせた基準の追加や既存の管理策の改善が実施されました。この改訂を通じて、組織は現代の情報セキュリティ環境における多様で高度なリスクに対応可能となり、事業の持続性と信頼性の強化が期待されます。
ISO27001 2022の主な変更点
2022年に実施されたISMSの規格改訂は、情報セキュリティの最新のリスクに対応するための重要な変更です。この改訂で何が変わったのか、主な変更点を見ていきましょう。
構造の見直しで利便性アップ
最初の変更点は、ISMS規格の構造自体です。これは、ISOの上位構造との整合性が図れました。10の章に分割されている規格本文は、章の順序が再編成など、内容がよりアクセスしやすい形に整理されました。
管理策の強化と拡充
次にクラウドセキュリティ、AIセキュリティ、サイバー攻撃対策、プライバシー保護など4点が特に重要なポイントとして管理策が追加・変更されました。これにより、現代の技術的進展や複雑化するサイバー脅威に対する対策が強化されています。
※附属書Aの管理策が114個から93個(新設11個含む)に整理統合化、組織的管理策・人的管理策・物理的管理策・技術的管理策の4つにカテゴライズされ、各管理策の適用に参考となる5つの属性情報も付加。
環境変化への即応性
クラウド技術、AI、サイバー攻撃の技術など、組織が直面するセキュリティリスクは常に変化しています。最新の改訂は、これらの変化する環境への対応も含んでいます。
ISO27001 2022への移行期間
現行のISO/IEC 27001:2013認証を持つ会社に対して、新しい規格へのスムーズな移行を可能にするための3年間の移行期間が設けられています。
開始日: 2022年10月25日
終了日: 2025年10月31日
この期間中、ISO/IEC 27001:2013とISO/IEC 27001:2022の認証は、両方とも有効とされています。これにより、企業は新しい規格の要求事項を理解し、適合するための十分な時間を持つことができます。しかしながら、現行のISO/IEC 27001:2013認証を持つ企業は2025年10月31日までに新しい規格への完全な移行を完了させる必要があり、この期限を逃すと、認証が無効となり、組織には再認証プロセスを経る義務が生じるので注意しましょう。
新規格移行のための対応ポイント
- ギャップ分析の実施:現状とISO/IEC 27001:2022の要求事項との間に存在するギャップを特定し、対応方針を決定します。
- ルール変更の実施と文書化:管理策変更への対応、必要に応じた情報セキュリティルールの変更・追加、必要に応じて記録様式の修正や追加を実施します。
- 教育とトレーニング:規格改訂に対応するため、ISMS運用メンバーの力量向上研修、新たな情報セキュリティルールを社内に周知するための教育研修を行う必要があります。。
- 内部レビューの実施:現在のセキュリティマネジメントシステムが規格改訂の要求事項をどの程度満たしているか、内部監査やマネジメントレビューを実施し、規格改訂対応した状態でのPDCAサイクルを一通り完了させます。
まとめ
ISO/IEC 27001:2022規格への移行は、組織の情報セキュリティが最新の脅威とリスクに対応し続けるために不可欠です。計画的かつ段階的なアプローチを取ることで、移行プロセスをスムーズかつ効率的に進めることができます。期限までに移行を完了し、組織のセキュリティとコンプライアンスを確保しましょう。