ISMS新規格対応はいつ頃行うべき?
ISMS適合性評価制度(一般的にISMS認証として挙げられる制度)の要求事項であるISO/IEC27001規格の改訂版が昨年(2022年)10月25日に改訂されました。
改訂に伴って、3年以内に新規格に対応した仕組みで認証の移行を行う必要があります。
ただ、3年以内とは言いつつ、審査の種類によって少しずつ期限が異なっていたりするので、今回は認証移行のタイミングについて整理していきます。
通常の移行期限の基準
基本的な移行期限は前述の通り改訂から3年以内のため、「2025年10月31日」までです。
また、この期限は認証が移行されている必要があるタイミングのため、審査についてはもう少し早い段階(遅くとも2025年夏頃)には受審することが望まれます。
新規認証審査での基準
新規で認証審査を受審する場合、改訂版発行月の末日から18ヶ月以内(2024年4月30日)であれば旧規格(ISO/IEC27001:2013(JIS Q 27001:2014))での受審も可能です。
この期限は審査開始の期限であるため、審査日が2024年4月30日までになれば対応可能ということです。
ただし、旧規格で認証取得したとしても結局2025年10月31日が旧規格での認証期限であることに変わりはないので、2013年版で準備をしていて、かつ急いで認証を取得しなければならないというケースを除いては、新規格での受審を検討した方が良いかもしれません。
再認証審査での基準
ISMSは認証の有効期限が3年間のため、3年に1回、次の有効期限に伸ばすための再認証審査が行われます。
そんな再認証審査ですが、旧規格で受審できるのが新規認証取得と同様、改訂版発行月の末日から18ヶ月以内(2024年4月30日)に審査開始できる必要があります。
そのため、2024年4月30日までに再認証審査を行う場合は、一旦旧規格で再認証審査を受審した後、次回(2025年)継続審査までに新規格対応を行って新規格に移行することも可能です。
一方で、もし2024年5月1日以降に再認証審査を行う場合には、遅くとも今年の継続審査後、次の運用で新規格対応を行って、新規格で再認証審査を受審する必要があります。
まとめ
あらためて状況ごとに対応を整理します。
以下の基準は気にしつつ、組織の対応タイミングを考えておきましょう。
【初回認証審査の場合】
2024年4月30日までに審査開始できれば、旧規格での受審も可能
ただ、2025年10月31日までに新規格への移行は必要
基本的には新規格で受審してしまう方がいい
ただたとえばすでに準備してしまっており、急いで認証が必要などであれば旧規格で一旦受審することも選択肢の一つ
【2024年は継続審査の場合】
「継続審査は旧規格で受審し2025年の審査で新規格対応する」「2024年の継続審査で新規格対応してしまう」のいずれも可能
【2024年4月30日までに再認証審査の場合】
旧規格での再認証審査受審も可能
ただ、2025年10月31日までに新規格への移行は必要なため、25年の継続審査、もしくは別途移行審査を受審して新規格へ移行する必要がある
【2024年5月1日移行に再認証審査の場合】
新規格でのみ受審可能
2024年5月1日移行に再認証審査が想定される場合には、それまでに新規格対応を行う必要がある