本日、ISMSの改訂規格（ISO/IEC27001：2022）が正式発行！！最新情報まとめてみました！

本日2022年10月25日、ついにISMSの規格であるISO/IEC27001の改訂規格、「ISO/IEC27001:2022」が正式発行されました！

今日は正式発行後、最速の情報提供を目指して改訂規格や対応スケジュールなどについて簡単にまとめてみようと思います😁

そもそもISO/IEC27001ってなに？

「この人すごいはしゃいでる感あるけど、そもそもISO/IEC27001ってなんやねん」という方もいるかもしれない（そんな人の方が多いと思う）ので、ISO/IEC27001について改めて簡単にご紹介します。

ISO/IEC27001は、情報の機密性・完全性・可用性を維持して情報を有効活用するための取り組み、「ISMS」を構築・運用するために守る必要のある要求事項のことです。
そして、今回はそのISMSの基礎になっている規格が約10年ぶりに改訂されました。（なので仕事上ISMSに関わっている筆者はテンション上がってるということです😋）

規格改訂で何が変わった？

本文（4~10章）の一部変更

ISMSのPDCAに係る要求事項である本文部分に大きな変更はなく、大幅な運用変更までは想定されません。
ただしいくつかの章で項目の追加や修正等が発生しています。以下一例です。

「6.3　変更の計画」の追加
本項目は既存規定には存在しなかった新しい項番です。
追加の背景には、ISO規格全般の上位概念に6.3が存在しており、ISMSも今回の規格改訂によって、その概念の枠組みに合わせることになったということがあります。
規定の内容は簡単に説明すると、リスクアセスメントや組織の課題などに合わせてISMSの仕組みやルールを変えたりするときには、変更によって問題が起きないかなどちゃんと計画立てて行いましょうということです。

「9.3.2　マネジメントレビューのインプット」の一部追加
この項目の章立て自体の変更もあるのですが、内容自体は大きく変わっていません。ただ、唯一の変更として、インプット項目に以下が追加されました。
既存の報告内容では以下がカバーできていなさそうな場合には注意するようにしましょう。

• ISMSに関連する利害関係者のニーズ及び期待の変化

特に影響が想定される項目を挙げましたが、そのほかにも一部修正等が加えられていますので、詳細は規格を確認いただければと思います。

附属書A（管理策）の変更

今回の規格改訂のメインはこちらにあります。
これまでISMSを構築する際には、一般的な情報セキュリティリスクを管理するためのA.5~A.18に分類された114個の管理策というのが存在していたと思います。
それが新規格では再構成され、A.5~A.8に93個の管理策が分類される形になりました。基本的には既存管理策の位置が変わっている程度なのですが、11個の新規管理策もあるため、そちらの確認も大切です。

新規格対応のためには何をする必要がある？

規格改訂において一番気になるのはこの部分ではないでしょうか？
そこで簡単ではありますが、新規格に対応するために行うべきことを簡単にまとめてみます。

リスク・ルールの見直し・追加

前述の通り今回の規格改訂では11個の新規管理策が存在します。
つまりそれらの管理策はこれまでのリスク・ルール構築において考慮されていなかった可能性があります。
ですので、まずはそれらの管理策の適用可能性を考えた上で、既存ルールでも充足できるのか確認し、不足している場合には管理策を満たすためのルールを追加しましょう。

適用宣言書の改訂

附属書Aの構成が変わるということは、現状の適用宣言書は新規格を満たさないということです。
前項のルール見直しの実施に関わらず全ての組織が対応を行う必要があります。

内部監査/マネジメントレビューの実施

ルールや適用宣言書を改訂したら終わりではなく、そのルールがきちんと規格に適合しているか、また、組織内で新ルールが守られているかなどを内部監査でチェックした上で、運用や監査の結果をマネジメントレビューで報告し、フィードバックをもらうようにしましょう。

規格は手に入る？

ISO/IEC27001:2022規格ですが、ISOのサイトより購入することが可能です。
ただし、上記サイトから現在購入可能なのは英語版のみであり、日本語対訳版やJIS規格版を購入する場合はJSAのサイトを確認するようにしておいてください。（2022年10月25日現在、こちらのサイトも英語版のみ販売開始しており、日本語のものは未発行です）

いつまでに対応する必要がある？

ISMSでは規格改訂が発生すると、一定期間以内に新規格に移行する必要があります。
その移行期間についてですが、本日、日本のISMS認証の統括期間であるISMS-ACにより以下の発表がありました。

ISMS認証取得済み組織の場合

すでにISMS認証を取得している組織の移行期限は以下のとおりです。

2025年10月31日まで（規格発行月末日の2022年10月31日より3年間）
※期間内に移行を行っていない場合、現行版(2013年版)で取得しているISMS認証は失効となります

ただし、再認証審査の期限については2月15日にIAFの要求事項が改訂され、以下基準に変更しています。

2024年4月30日までの審査開始
※同年5月1日以降に再認証審査を受審する場合には、新規格対応を行った状態で受審する必要があります。

現行版による初回認証審査の期限

これからISMS認証を取得する場合、現行規格で審査を受けられる期限は以下のとおりであり、期限以降は、改訂規格のみでの審査実施となります。
認証取得の計画が期限に被りそうな場合などは注意しましょう⚠️

2024年4月30日までの審査開始
※再認証審査の受審期限同様、IAFの要求事項の改訂に伴い、期限が変更しています。

2023年10月31日（規格発行月末日の2022年10月31日より1年間）

さいごに

今回は3年間(すでに認証を持っている場合)の猶予期間があるため、急いで対応を行う必要はありません。急ぎすぎて中途半端な仕組みにならないようしっかりと計画立てて対応を進めていくことをおすすめします。

さいごに少しセールスっぽくなってしまいますが（笑）
私の所属しているLRM株式会社で11/1に規格改訂に関する共催セミナーを実施します！
こちらでは新規管理策についての解説なども行う予定ですので、ぜひお気軽にご参加ください🥰

ISO27001改訂で求められるクラウドサービス情報漏えい対策セミナー | セミナー・イベント| LRM株式会社ISO27001改訂で求められるクラウドサービス情報漏えい対策セミナー