ISOにおいては、ISOで発行されたマネジメントシステムの規格を5年に1度の頻度で見直すルールがあります。例えばISO/IEC 27001では直近の改定は2022年に実施され「ISO/IEC 27001:2022」となりました。この記事ではISOの概要と改定の手順、そしてISO規格改定時の各企業の対応方法まで詳しくご紹介します。
また、2022年規格改訂の変更内容や対応する項目をまとめた資料を無料で配布しています。参考にして下さい。
そもそもISOとは
そもそもISOとは、「International Organization for Standardization(国際標準化機構)」の略で、国際間の取引のための標準を定める規格を発行する団体です。
具体的には、私たちが日常で使っている、ネジやコンセント、クレジットカードのサイズなどを決めているのも、このISOという団体です。このようなルールを決めていないと、私達の使うカードはサイズがばらばらという可能性もあるということです。
例に挙げたのは製品そのものを対象にしたものですが、組織の品質活動や環境活動を管理するための仕組みもこのISO規格の一種です。こちらは「管理するための仕組み(マネジメントシステム)」について決めているものです。
ISO規格改定が行われるプロセス
ISO規格は時代の変化とともに定期的に基準が変化していきます。
ISO規格改定が行われるプロセスは、予備段階と通常6つの段階を踏んで作成され, 36ヶ月以内に国際規格の最終案がまとめられることとなっています。
具体的な発行までのプロセスは「提案→準備→合意→問合→承認→発行」というステージになっています。この6つのステージに伴って、新しい規格案が発行されます。
規格案は、NWIP(新作業項目提案)→WD(作業原案)→CD(委員会原案)→DIS(国際規格案)→FDIS(最終国際規格案)→IS(国際規格)といった形で名称も変わっていきます。
流れとしては、ISOの組織下にある委員会の幹事などの提案によってNWIP(新作業項目提案)が出され、規格化が決定します。そして作業原案であるWD(作業原案)が提案され、その後議論・検討が重ねられます。
次にCD(委員会原案)、DIS(国際規格案)、FDIS(最終国際規格案)と修正・追加・削除が繰り返され、最終的には投票によって(75%以上の賛成)によって、IS(国際規格)となるという流れになっています。
実際にISO規格が改定されたプロセス
実際にISO規格が改定されたプロセスにはどのようなものでしょうか。
例えば、情報セキュリティマネジメントシステムに関する国際規格である「ISO/IEC 27001」は、改定作業が2008年10月より開始され、最終的には2013年9月16日にIS(国際規格)発行ステージに移行され、2013年10月1日に正式に発行されました。ここからもわかるように、規格の改定に着手してから5年という年数がかかっていることがわかります。
ISOでは、ISOで発行したマネジメントシステム規格を5年に1回見直すというルールがあります。
例えば先ほど紹介した「ISO/IEC 27001」を例に挙げると、実際に一番最近の規格の改定は2022年に行われおり、「ISO/IEC 27001:2013」が改定され、「ISO/IEC 27001:2022」となりました。この「ISO/IEC 27001」の後ろにある年数が、その規格が発行された年を表しています。
ISO規格改定の頻度
ISOでは、ISO/IEC 27001に限らず、マネジメントシステム規格を5年ごとに見直すというルールを持っています。他のマネジメントシステム規格をみてみましょう。
品質マネジメントシステム規格(ISO9001)は、1987年に初めて発行され、1994年に第1回目の改定がありました。そして2000年、次に2008年、2015年と改定が行われています。
また環境マネジメントシステムの規格(ISO14001)も、1996年に初版が発行され、2004年に改定が行われています。次に2009年に見直しが検討されましたが、このときは継続という方向になりました。最近の改正は2015年です。
ISO規格改定への各企業の対応方法とは
ISO規格の改定に対して、各企業はどのように対応すべきでしょうか。具体的な流れについて詳しく説明いたします。
1. 改定後のISO規格について差分の洗い出し
まずは改定されたISO規格について詳細に理解しましょう。具体的には、現行のISO規格と改定される規格との間の差分を洗い出します。追加された要求事項、変更された要求事項の確認。
表現とともに変更の意図を理解することが必要です。これは移行審査1年半前から1年3か月前程度に実施します。
2. 自社の課題整理と移行計画立案
次に自社の課題整理と移行計画の立案を行います。改定されたISO規格をふまえて、自社の移行にあたって課題を整理して、社内外のステークホルダー(利害関係者)との間を考慮します。1つ前の手順である、差分の洗い出しから、追加や変更が必要とされる機能・プロセスなどに対してどのように移行計画を立てるのか、方向性を決めます。
これは移行審査1年3か月前から1年2か月前に実施します。移行審査の時期から逆算して計画を立案しましょう。
3. マニュアル/手順書の改版
2. で決めた方向性にそってマニュアルや手順書を改版します。その後、改版したマニュアルや手順書を実務担当者へと周知します。これは移行審査1年2か月前から1年前に実施します。
4. 改版したマニュアルで組織を運用する
改版したマニュアルの企業内で周知できたら、実際にマニュアルや手順書に沿って、運用・監視・測定を行います。運用のサイクルが一巡し、内部監査とマネジメントレビューが完了していなければ移行審査は受けられません。
5. 内部監査とマネジメントレビューの実施
次に内部監査として、自社で全ての要求事項を網羅していること、特に新しい要求事項であるリスクや機会などへの取り組みについてチェックします。
これは移行審査半年前から移行審査までに実施します。内部監査が済んだら、マネジメントレビューを実施して、マネジメントシステムの有効性を検証します。
6. 移行審査
最後に移行審査を受けます。移行審査では、通常の定期審査と再認証を合わせて実施できます。
まとめ
ISO規格には様々なものがありますが、そのどれもが時代の変化に応じて修正されています。ISO規格の改定の歴史から、その時代の背景がうかがえますし、それぞれの規格が違ったものに見えてくるでしょう。ISO規格改定が実施されたときに、この記事を参考に適切なISO規格改定への対策を実施して、自社のセキュリティ強化の一助となればうれしく思います。
また、弊社ではISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,300社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。