ISO/IEC 27001:2022への対応について
【2023年9月現在】
1.JIS Q 27001:2023発行について
2023年9月20日にJIS Q 27001:2023が発行されました。これに伴い、
"ISO/IEC 27001:2022"は、"JIS Q 27001:2023(ISO/IEC 27001:2022)"
に読み替えます。
※クラウドセキュリティの対応については、ISMS-ACのホームページをご覧ください。
認証の移行については、以下の2023年4月に掲載した内容のとおりです。
組織の皆様には、早めに移行計画のご検討をお願いいたします。
2.今後の予定
組織の皆様に対して、移行時期を把握するためのアンケート調査を10月上旬にお願い
する予定です。
【2023年4月現在】
ISO/IEC 27001の定期見直しに伴い、2022年10月25日にISO/IEC 27001:2022が発行されました。
これに伴い以下のとおり処置が必要となりますので、対応方宜しくお願いいたします。
1.認証の移行について
(1)認証登録されている既存の組織は、改訂版発行月の末日から36か月以内にJIS Q 27001:2023(ISO/IEC 27001:2022)認証への移行を完了しなければなりません。
但し、再認証審査(更新審査)については、JIS Q 27001:2014(ISO/IEC 27001:2013)での審査が、改訂版発行月の末日から18か月以内となりますので、2024年5月以降は移行審査が必須です。
※特に2024年度に登録の有効期限を迎える組織は早めの準備が必要です。
(2)移行期間内に新規格への移行ができないと、ISMSの認証は無効となります。
※不適合の場合の対応、判定委員会の期間等を考慮し、2025年8月末までに移行審査の完了をお願いいたします。
(3)移行審査の工数は原則以下のとおりです。
・維持審査に合わせて実施する場合は、1.0人日の工数を加えます。
・更新審査に合わせて実施する場合は、0.5人日の工数を加えます。
・単独で行う場合は、1.0人日の工数で実施します。
(4)移行審査では主に以下の確認をします。
・移行に伴い変更したISMSに関する文書化した情報
・移行に関する教育の実施状況
・移行に伴うISMS(規格本文)の運用状況
・移行に伴うISMS(管理策)の運用状況
・移行に関する内部監査の実施状況
・移行に関するマネジメントレビューの実施状況
2.規格の改訂概要と対応のお願い
ISMS本文は、構成や用語の定義は変わらず、要求事項の追加や変更は少ない状況です。ISMS管理策は、構成が4群(93項)に変更され、11の管理策が新規に追加されていますので、リスクアセスメントの実施、適用宣言書の作成等に反映して下さい。
なお、規格の変更点は移行審査で必ず確認しますので、文書化、教育、運用、内部監査、マネジメントレビューを計画的に実施願います。
3.今後の予定
現在の情報では、ISMS−AC主催による「移行に関する研修会(組織様向け)」が5月頃に計画されているようです。JATEとしては、JIS発行(2023年夏頃の予定)以降に、組織の皆様に対して移行時期を把握するためのアンケートをお願いする予定です。また、必要に応じて説明会等の開催も検討していきます。
参考情報ですが、早めに移行準備をされる場合は、ISO/IEC 27001:2022の対訳版(日本規格協会2022.10発行)等のご利用もご検討ください。