今からでも遅くない！ISMS新規格への対策を始めよう

こんにちは。ゼタントCEOの久保です。

2022年に改訂されたISMS（情報セキュリティマネジメントシステム）の新規格「ISO/IEC 27001:2022」への移行期限まで残り1年となりました。企業のご担当のみなさまは、審査に向けて対応に追われている時期ではないでしょうか。

今回からはシリーズで、長年に渡って情報通信技術や情報セキュリティ分野の研究や技術開発に携わってきた知見を活かして、できるだけわかりやすく「ISMS新規格や情報セキュリティに関する概要や技術」について解説していきたいと思います。

ISMS新規格への移行期限まであと1年

ISMS（情報セキュリティマネジメントシステム）を導入されている企業は約8000社（2024年10月時点）いらっしゃり、年500社近く増加しているそうです。ISMSを取得していることで情報セキュリティに関する取り組みをしっかり行っていることの証左になるため、お客様からの信頼向上につながることが期待されます。そのため、導入を検討されている企業もたくさんおられるのではないでしょうか。

ISMSは国際規格「ISO/IEC 27001」および「JIS Q 27001」にて要求事項が定められています。そんなISMSは、昨年2022年10月、第3版「ISO/IEC 27001:2022」にアップデートされました。現在は、第2版である「ISO/IEC 27001:2013」から第3版「ISO/IEC 27001:2022」への移行期間で、この移行期限は2025年10月31日までとなっています。つまり、ISMSを取得されていて、まだ「ISO/IEC 27001:2013」のままの企業は、移行期間内に第3版「SO/IEC 27001:2022」に移行を完了させなければなりません。

第3版「ISO/IEC 27001:2022」への移行は、通常の更新に比べても追加の労力やコストを伴うため、先送りされている企業も多いようです。情報マネジメントシステム認定センター（https://isms.jp/）に公開されている登録企業の状況を見ても、2024年8月末時点でも７割前後の組織がまだ対応が完了しておらず、第2版のままのようです。

ISMS改訂の背景と取得の意義とは？

ISMSの規格は5〜10年ごとに、時代の趨勢に合わせる形で更新されています。インターネット技術が成熟し、スマホやタブレット等のデバイスが広く浸透し、働き方も環境も大きく変わってきています。またそれに合わせてサイバー攻撃など企業にとっての脅威も多様化、高度化してきており、企業がすべき対策も広範に渡ります。

ISMSは、情報資産を正しく安全に運用し、事業を運営できるようにするために、組織がその方針、運用方法、確認方法などを明確に規定し、それに則って組織運営することを求めます。細かいレベルで「こうしなければならない」ということを厳密に定めるものではなく、ルールを作ってしっかり運用していることにお墨付きを与えるようなイメージです。

お客様が取引先を選ぶ時に、その取引先候補が組織として情報管理をしっかり行なっているかは、お客様にとって大きな関心事です。ISMSは組織としての取り組みを客観的に評価されます。そして、ISMS自体の認知が広がってきているため、ISMSが企業の安心・信頼のマークとなってきています。

ISMS新規格への移行に向けて

第2版で認証を受けている企業が、第3版「ISO/IEC 27001:2022」に移行するためには、その変更点を認識し、新しい運用ルールを制定し、その運用を開始し、その有効性を検証した状態に達しなければなりません。そうして初めて、更新審査を受け、新しい第3版「ISO/IEC 27001:2022」への移行が完了します。

まだ移行がお済みでない企業は、移行期限である2025年10月31日までに更新審査に合格できるように準備を進めましょう。

---

［ 次回のテーマ ］

次回は、「ISMS改訂の内容」について解説したいと思います。是非、あわせてお読みいただき、ISMS新規格への対策にお役立てください。

ゼタントについて
https://qfilter.net/#about