ISO27001:2022 対応日記 計画編
前回の記事では、ISMSが新規格となり、対応が必要であることを紹介しました。
本記事で紹介している書籍はこちらで、以下 ISMS本とします。
図解即戦力 ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書
この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査計画について書きます。
※記事公開後、コメントをいただき一部記述を見直しました。ご指摘ありがとうございます。
[04]
情報セキュリティマネジメントシステムとは?
情報セキュリティとは?
情報の機密性、完全性、可用性を維持すること
機密性、完全性、可用性を簡単に説明すると
機密性:認められた人だけが情報にアクセスできること
完全性:情報が正確であり、改ざんや破壊が行われていないこと
可用性:必要な時に情報にアクセスできること
IS0/IEC27001の構成
どのような組織でも適用が必要な要求事項「4.組織の状況」~ 「10.改善」と、組織が適用するかどうか決めることができる 「附属書A」 で構成されています。要求事項の詳細は、今後、別の記事で紹介させていただきます。
ISMSのPDCAサイクル
ISMSは、ISO9000などと共通したPDCAサイクルを回す必要があります。
ISMS計画 → ISMS運用 → ISMS監査 → ISMS改善
サイボウズで実施しているPDCAサイクルは、今後、別の記事で紹介させていただきます。
ISO/IEC27001:2022 の改定概要
ISMS本 P.32 ~ 新規格の改定概要が掲載されており、わかりやすくまとまっています。一部を紹介すると、要求事項 4.~10. までの変更の多くは、文言の追加や表現の見直しで 6.3 変更計画の策定が新設されている。附属書Aはいままで14箇条あったのが、4箇条に整理され、管理策の数も114個 から 93個に整理されています。また新規に策定された管理策の数は 11個となっています。また、それ以外にも拡張された管理策があります。新旧管理策番号の対比、新規に追加された管理策は、移行審査前にしっかりと理解しておく必要があります。
ISO/IEC27001:2022 移行審査
移行期間は2022年10月31日~2025年10月31日の3年間。
サイボウズの ISMS 有効期限は2023年11月9日となっており、今年が再認証審査となっています。
https://isms.jp/lst/ind/CR_IS_x0020_577142.html
再認証審査と移行審査を同時に実施するという方法もあるのですが、今年だと移行準備が間に合わない。2025年だと、移行審査期間ぎりぎりとなってしまい審査がおりなかった場合のリスクもあるので、2024年の審査で移行審査を実施することとしました。
移行審査の対応準備
新規格ISO/IEC27001:2022に合わせて、ISMSマニュアルなどを改訂し、その内容にしたがって ISMSを計画・運用し、リスクアセスメント、教育、内部監査、マネジメントレビューを実施してから移行審査を受ける必要があります。
サイボウズでは、2023年9月下旬にISMS審査(ISO/IEC27001:2013ベースの再認証審査)を受け、その後、2023年10月~12月で各種文書(ISMSマニュアル、適用宣言書など)を改訂し、2024年から ISMS計画を立てるのですが、そこからは新規格に準じたサイクルを回し、2024年の9月に移行審査を受ける。そのように計画を立てています。
2023年10月以降は、ISMAP監査対応も発生するので、この時期は忙しくなりそうです。
まとめ
2023年は旧規格で再認証審査を受け、2024年に移行審査を受ける。
移行審査を受ける前に、新規格でのISMSサイクルを回す必要がある。
今後もISMS本ベースにISMSを紹介しつつ、サイボウズでの対応状況などを書いていきますので、応援お願いします。