ISMS (ISO27001:2022)移行支援｜ISO9001,ISO27001認証
・他ISO取得・
　スリープロサポート株式会社

ISOコンサルタント：トップ ＞ ISO27001取得支援 ＞ ISO27001:2022移行コンサル支援

　ISMS(ISO27001:2022)移行コンサルティング

　2022年10月25日にISO/IEC27001:2022（以下：ISO27001:2022）（情報セキュリティ、サイバーセキュリティ及びプライバシー保護−情報セキュリティ マネジメントシステム−要求事項）が発行されました。前回改定から9年ぶりの規格改定になります。同時にJIS Q 27001も改定されたのですが年度が替わり2023年度版となります。今回の改定では要求事項に大きな追加・変更は無く、先行して2022年2月に発行されたISO/IEC 27002：2022（情報セキュリティ，サイバーセ キュリティ及びプライバシー保護−情報セキュリティ管理策）との整合性を図るため「附属書A」が全面的に改訂されているのが特徴です。ISO27001:2022認証の移行認証コンサルはお気軽にスリープロサポートへご相談ください。

　近年、グローバルビジネスが加速する中、情報セキュリティの分野では特に世界規模で個人情報保護に関係する法整備が進んでいます。具体的には、GDPR（EU一般データ保護規則）を筆頭に、CCPA（カリフォルニア州消費者プライバシー法）、中国個人情報保護法などが新たに制定されました。また、隣国である韓国やオーストラリア（オーストラリアプライバシー原則）、日本においても同様に制定、改定が頻繁に行われています。法整備が急激に整備される背景には電子商取引の拡大、サイバーリスクの増大、リモートワークの拡大などが挙げられます。この様な背景もあり、時代の変化に合わせた情報セキュリティの規格の改定が求められ、ISO27001が約9年ぶりに2022年度版（JIS　Q 27001は2023年）として改定・発行されました。そこで、新しく改定された今回のISO27001:2022をてみると、規格本文事態にはISO27001:2013から大きな追加や変更はみられません。ただ、今回のISO27001:2022改訂では「附属書A」が全面的に改訂されている事が解ります。具体的には「付属書A」の管理策において新たな管理策が11項目追加されており、また、更新・統合などにより、管理策が改正前の「114」 から「93」 に減少しています。 そして、管理策の分類は、14 分類から、「組織的管理策」、及び「人的管理策」、「物理的管理策」、「技術的管理策」の4 つに分類・整理されています。 ここで注目すべきは、この「付属書A」の管理策は、先行して改定・発行された「ISO27002/2022」をベースとしているという事です。ISO27002:2022は2022年2月に発行され、この規格と整合性を図るために（ISO27001:2013では整合性が弱い）ISO27001:2022が10月に発行されました。

　まず、ISO27002:2022を説明する為に、ISO2700ファミリー規格を確認してみましょう。ISO/IEC27000ファミリーの各規格は相互にサポートし合う関係性で、組み合わせることで組織のISMSの有効性や効率性の向上に役立てることを目的に作られています。イメージとして、ISO27001:2022は言わば「ISMSの法律」（〜しなければならない）になり、ISMS認証取得をする為に必須の「要求事項」です。一方、ISO27002:2022は「ISMSにおけるリスクを低減する為の参考書」（この場合はこうしたほうが良い）と捉える事が出来ます。

【ISO/IEC27000ファミリー群（一部）】

　「管理策」とは。既にISO27001を認証している組織は理解していると思いますが、情報セキュリティにおいて、「特定のリスクの低減を目的として行う「対策」のガイドライン」の事で、組織内で情報セキュリティのリスクを下げるには具体的にどうすればいいかが示されています。そして、ISO/IEC27002:2022及びそれをベースとしたISO27001:2022の「管理策A」は、ISO27001:2022の要求事項に適合し、情報セキュリティマネジメントシステム（ISMS)を構築・運用しISO27001を認証する為には具体的に組織は何をすればよいかが示されているわけです。 ISO27002:2022のタイトルは「Information security, cybersecurity and privacy protection - Information security controls：情報セキュリティ，サイバーセ キュリティ及びプライバシー保護−情報セキュリティ管理策」となっており」旧版（ISO27001:2013）と違い、「サイバーセキュリティ」や「プライバシー保護」という言葉が追加され、リモートワークやクラウドサービスに関する管理策も充実化が図られています。

　ISMS適合性評価制度（以下：ISMS制度）の認定機関であるISMS-ACの発表によると、今回の新規格対応（ISO 27001:2022）の移行期間は、継続審査の場合は2022年10月31日から以降3年間（2025年10月31日。ISO 27001:2013規格に基づく認証は2025年10月31日をもって失効し無効）であり、この時点でまでに認証機関が証書を発行し終わっていることが条件となります（ISO制度は審査機関ごとに異なる場合有）。故に、ISMS制度に登録している組織は、2025年10月31日までに移行審査に合格通過する必要があります。ただ、登録証の発行期間を考えなければならず、この条件を満たすためには、最低でもその1か月前までに審査が終了している必要があります。ただ、移行期間ギリギリに審査を受ける企業も多く認証機関のキャパシティを考えた場合、安全性を考慮し早めの審査（3か月以上前）を受けたほうが良いでしょう。 なお、旧版（ISO 27001:2013）で審査を受ける場合（2013年版で新規認証含む）、2024年4月30日（JIPDEC参考）までとなり、それ以降はISO27001:2022年度版のみでの審査しかできません。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　【参考：ISMS-AC】

　移行のための審査は、定期審査（サーベイランス審査（追加最低工数+1.0人日）や更新審査（追加最低工数+0.5人日））と併せて実施することも単独で実施することも可能なので、必ずしも定期審査を待たずに余裕をもって単独審査を受ける、または早めのサーベイランス審査を受けることも検討するとよいでしょう。

　スリープロサポートはISO27001:2022へのアップグレード移行を計るお客様向けに、オンライン無料説明会を行います。新しい規格においてどこがどう変わったのか？重要ポイントは何？組織は何を実施すればよいの？審査における注意点は？など、組織がISO27001;2022の認証を効率よく安全に行うためのポイントを説明します。是非、情報管理責任者はこの機会にご参加ください。

　�@　2024年4月15日（月）13時30分〜15時30分
　�A　2024年4月25日（木）13時30分〜15時30分
　�B　2024年4月30日（火）13時30分〜15時30分

セミナー内容は同じになります。
申し込みはこちらから、例えば「�@セミナー参加希望」と記入してお申し込みください。

　2023年9月に「JIS Q 27001:2023　 情報セキュリティ，サイバーセキュリティ及びプライバシー保護 ?情報セキュリティマネジメントシステム? 要求事項]」が発行されました。ISO27001:2022移行アップグレード認証コンサルに関する質問等スリープロサポートにお気軽にお問い合わせください。審査員資格保有者が親切丁寧に対応させていただきます。

　ISO27001取得のコツへ