１．ISMSとは

ISMSとは、情報セキュリティマネジメントシステム（Information Security Management System）を略して呼びやすくしたもので、組織の情報を守るためのシステム・仕組みのことです。

⑴ISMSについて

ISMS認証は、大切な情報が漏れたり外部から侵されないよう、安心・安全なビジネス環境を整えることを目的としています。

⑵ISO27001とは

ISO27001とは、ISO規格のひとつで、「どのようにISMSを構築し運用するかを定めた国際規格」のことで、組織がISMS（＝情報セキュリティマネジメントシステム）を確立し、実施し、維持し、継続的に改善していくための要求事項を提供するために作成されました。
ただ、ISO27001のことを「ISMS」と呼ぶ人も多く、ISO27001とISMSはほとんど同じ意味として使われています。

⑶JISQ27001とは

JISQ27001とは、JIS（日本産業規格）が、国際規格であるISO規格やIEC規格を翻訳し作成したもので、日本国内の国家規格ですが、国際規格との整合性がはかられています。

(4)ISO27002との関係性

ISO27002は、情報セキュリティに関連する国際規格であるISO27001の実装を支援するためのガイドラインとして使用されます。

２．ISMSの最新版はどれ

2022年10月に、ISO/IEC27001：2022、ISO/IEC27002：2022が発行されました。

2023年6月現在、JISは発行されていません。
JISQ27001：202X　は、2023年夏頃発行予定で、
JISQ27002：202X　は、2024年春頃に発行予定になっています。

３．ISMS規格改訂の背景

ISMSは情報セキュリティに関する規格ですので、社会情勢や技術の進歩、環境の変化、新たなリスクへ対応するため定期的に基準（ルール）を変化させていくものです。
今回の改定では、クラウドサービスの普及、個人情報保護の重要性、不正アクセスやサーバ攻撃などの新たな脅威に対応するため9年ぶりの改定となりました。

４．新規格への移行期間

新規格（ISO/IEC 27001:2022）への移行が必要となりますが、移行期間は、2022年10月31日～2025年10月31日までです。
なので、移行期限までにISO/IEC 27001:2022の要求事項への対応を実施し、移行審査を受ける必要があります。

５．ISMS規格改訂の大まかなスケジュール

６．いつ新規格へ移行するべきか

2023年内に完了させなければならないというものではありません。
遅くとも2024年、2025年までに対応しなければならないものとして認識しておいてください。

基本的に、定期審査（維持審査）や更新審査（再認証審査）と同時実施できますが、移行審査は単独で受けられます。
移行審査がいつから可能になるのかは審査機関によって異なりますので、審査機関に確認をしましょう。

７．規格の変更点と改訂内容

今回のISMS規格改訂による変更点と改訂内容の要点を①〜③にまとめました。

1. ISO27002管理策の箇条構成が4つに変更
   現状把握無くして、スリム化はできません。
   5〜18までの14テーマで構成されていましたが、新規格では、5〜8の4テーマの構成へ変わります。
   ■旧テーマ
   5.情報セキュリティのための方針群／6.情報セキュリティのための組織／7.人的資源のセキュリティ
   8.資産の管理／9.アクセス制御／10.暗号／11.物理的及び環境的セキュリティ／12.運用のセキュリティ
   13.通信のセキュリティ／14.システムの取得、開発及び保守／15.供給者関係
   16.情報セキュリティインシデント管理／17.事業継続マネジメントにおける情報セキュリティの側面
   18.順守
   ■新テーマ
   5.組織的管理策／6.人的管理策／7.物理的管理策／8.技術的管理策
2. ISO27002管理策のが図が93個に変更
   現状把握無くして、スリム化はできません。
   114個　⇒　93個へ　※内訳：新規 11個／統合 24個／更新 58個／削除 0個
3. 用語定義の考え方の変更
   現状把握無くして、スリム化はできません。
   組織の取組みや運用に大きな影響を及ぼすものではないですが、頭の片隅に残しておいていただけれ
   ばと思います。

８．新しい11個の管理策

ISMS改訂に伴う、新たな管理策は下記になります。

5.組織的管理策／3個
「5.7 脅威インテリジェンス」
「5.23 クラウドサービスの利用における情報セキュリティ」
「5.30 事業継続のための ICT の備え」

7.物理的管理策／1個
「7.4 物理的セキュリティの監視」

8.技術的管理策／7個
「8.9 構成管理」
「8.10 情報の削除」
「8.11 データマスキング」
「8.12 データ漏えい防止」
「8.16 監視活動」
「8.23 ウェブフィルタリング」
「8.28 セキュリティに配慮したコーディング」

９．規格改訂に伴う担当者の対応事項

ISMS規格改訂に伴い、担当者が対応しないといけないことを４つにまとめました。

1. 適用宣言書の改定
   管理策の構成が変更されたので、規格改定に合わせて改定する必要があります。
2. ルールの見直し及び追加
   管理策の内容が大幅変更しているわけではないが、規格改訂に伴い、新たに追加される管理策もあるため、各管理策については再度、適用するか、ルールを見直しするか、不足する場合には、新規ルールの追加検討及び適用除外の検討を行う必要があります。
3. 規格改定した状態で、内部監査・マネジメントレビューの実施
   内部監査・マネジメントレビューを実施して、規格改定に対応した状態でPDCAサイクルを一通り完了させることも必要となります。
4. 規格改定した状態で、外部審査の受審
   規格改訂が発生すると、一定期間内に新規格に対応した状態で審査を受ける必要がありますので、いつ受審するのかのスケジュールを検討する必要があります。

10．ISMS規格改訂での注意点

前項目「９．規格改訂に伴う担当者の対応事項」に記載している①～➃も注意点ですが、それ以外に、

1. 直近（2023年6月現在）で、移行審査を受けたい場合は、審査機関が対応できるかの確認してください。
2. 移行期間は、2022年10月31日～2025年10月31日なのですが、維持審査、更新審査の時期によっては、旧規格で受審出来ない場合があります。

ので確認をしてください。

まとめ

現代では、情報へのセキュリティ対応が重要視され、新たな脅威も発生してきていますので、現状にあったリスク対策を進めていきましょう。
新規での認証取得や継続に関わらず、規格改訂により再構築が必要なケースが出て来ているので、移行対応に関して余裕をもって進めましょう。