ISO27001:2022対応支援コース
ISMSとは
ISMSとは、Information Security Management Systemの略で、組織内の情報セキュリティを管理するための仕組みを指します。
企業をはじめとする様々な組織が、情報を適切に管理し、機密を守るために考案された仕組みです。
システム上でのセキュリティ対策だけではなく、情報の取り扱いポリシーや、それに基づいた具体的な計画、その実施から運用、見直しまでを含めたマネジメント体系のことです。
ISMS認証は、国際標準化機構が発行する「ISO27001」の規格に沿ってISMSを構築し、審査機関から適合性・有効性が認められると付与されます。
規格改訂とは
社会情勢の変化や技術の進歩に伴い、新しいセキュリティリスクが発生したり、新たな対応方法が生まれることで、規格内容が更新されていきます。
「ISO27001」は2005年に制定されました。それから2013年にも改訂されています。
そして、9年ぶりである、2022年10月に改訂されました。
2013年版のISO27001では、オンプレミスで、自社で情報を管理・運営する概念が基礎とされていました。しかし、クラウドが普及し、さまざまな情報管理の在り方が増加しました。
さらに、ゼロトラストなどの新たな概念も生まれました。そうした背景から、2022年の改訂が行われました。
ISO27001とISO27002について
ISO27001は、情報セキュリティに関する国際規格です。
ISO27001は、本文と附属書Aの2つで構成されています。本文には、ISMS認証取得に向けて、マネジメントシステムを運用していく上で実施すべき要求事項が記載されています。附属書Aには、リスクを管理するための具体的な管理策が記載されています。
関連する規格として、ISO27002があります。ISO27002は、ISO27001の附属書Aに記載されている管理策を実践するための手引きが記載されているガイドラインです。
2022年規格の変更点
2022年のISO27001改訂における変更点は大きく分けて3つです。
1. ISO規格の上位構造と整合が取られた
国際標準化機構が発行するISO規格には、品質管理マネジメントに関するISO9001や、環境管理マネジメントに関するISO14001などさまざまな種類があります。ISO規格全体の構造のルールとして、HS(Harmonized Structure)=調和させる構造が存在します。
2022年の改訂では、HSと整合するために、本文の構造が変更されました。
2. 規格の章立ての変更
ISO27001の附属書Aの章立てが、A.5~A.18から、5~8の以下4カテゴリに変更されました。
項目は少なくなりましたが、内容が削除されたわけではありません。13カテゴリに分かれていた管理策の内容が4カテゴリに分類されました。
- 5 組織的管理策
- 6 人的管理策
- 7 物理的管理策
- 8 技術的管理策
3. 管理策数の変更
ISO27001の附属書Aに記載されている管理策数が、114個から93個に変更されました。
しかし、廃止される管理策はありません。統合されるなど、構成が変更されました。
また、クラウドサービス利用のための情報セキュリティをはじめとして、情報セキュリティにおける環境変化が考慮されて、新たな管理策が11個追加されています。
規格改訂のスケジュール
これからISMS認証を取得する組織は、2023年11月以降から、2022年版での対応が求められます。
すでにISMS認証を取得している組織は、2025年までに2022年版への対応を求められます。
これからISMS認証を取得する組織
2023年10月31日までは、2013年版での受審も可能です。
しかし、新規取得における2022年版対応の猶予期間は1年間です。
維持・再認証審査における猶予期間と比べると、短期間に設定されています。
これからISMS認証取得に向けて準備を始める場合は、2022年版での体制構築をする方が手戻りが少ないです。

すでにISMS認証を取得している組織
2025年10月31日までは、2013年版での受審も可能です。
ただし、2013年版の認証は、2025年10月31日をもって失効します。
そのため、2023年11月以降に2013年版で受審しても、2013年版の失効までに2022年版で再度受審いただかなければ、ISMS認証取得を継続できません。
2022年版に対応する際は、審査ですべての文書が確認されます。
維持審査では、すべての文書が確認されないこともありますが、再認証審査では規格改訂と同様にすべての文書が確認されます。それを考慮すると、再認証審査のタイミングで2022年版に対応することで、担当者の負担を軽減することができます。

規格改訂で求められること
ルールの見直しから運用、確認までを行ってから、審査に臨むことが必要です。
ルール見直し
- 管理策の検討
- マニュアル/規定類の修正
- 文書、記録類の修正
- 適用宣言書の修正
- 各種フォーマットの見直し
運用
- 修正し、新規格へ対応したマニュアル類での運用
確認
- 修正したマニュアルおよび、文書・記録類の運用状況を確認する内部監査の実施
- マネジメントレビューの実施
- コンサルティングサービスについては1月上旬にご案内予定です。
情報公開次第、ご案内をご希望の方は下記よりご予約をお願いします。 - 情報公開後すぐに案内を受け取る
規格改訂対応に関するQ&A
Q. 新規で作成すべき記録や文書はありますか?
基本的には新規で作成が必要な記録、文書等はありません。ただし、新規管理策に対応するためのルール追加や当該ルール運用のために、新たな記録・様式等を作成する必要がでてくる可能性はあります。
Q. 適用宣言書は全面的に作成しなおす必要がありますか?
今回の規格改訂では、適用宣言書に対応する附属書Aの構成が全面変更となったため、必ず全面的な修正が必要となります。
Q. 2022年版規格での審査にあたり、内部監査は新規格の全要求事項と全管理策を対象とする必要はありますか?
既存要求事項や既存管理策に対する内部監査等をすでに実施している場合には、新規格の差分のみの内部監査実施で問題ありません。マネジメントレビューも同様に、定期計画上のレビューを実施済みの場合は、リスクや監査など、規格改訂対応で見直した差分のレビューで問題ありません。
Q. ISO27001の2022年版にはクラウドサービス利用のための情報セキュリティの項目がありますが、クラウドセキュリティ認証であるISO27017は不要になりますか?
2022年版ISO27001は、現在の社会情勢を反映し、クラウドリスクが従来より考慮された規格になっていることは確かですが、ISO27001とISO27017は前提として以下の違いがあります。
ISO27001:適用範囲における業務全般を対象としたセキュリティ認証(固有名詞を含むような特定のサービスに対するセキュリティ認証ではない)
ISO27017:特定のクラウドサービスの利用もしくは提供に関するセキュリティ認証(例えば「AWSの利用」や「セキュリオの提供」など、対象サービスが明確化されます)
上記のように、ISO27001のみでは特定のクラウドサービスの利用や提供に関するセキュリティ要求事項を満たすことはできません。特定のクラウドサービスの利用や提供に対するセキュリティ認証が必要な場合には、引き続き新規取得・運用が求められます。また、ISO27017についても、ISO27001の改訂に伴い、将来的な改訂が予定されています(現在は草案調査段階)。
- コンサルティングサービスについては1月上旬にご案内予定です。
情報公開次第、ご案内をご希望の方は下記よりご予約をお願いします。 - 情報公開後すぐに案内を受け取る