第1回 情報セキュリティマネジメントシステムISO/IEC 27001改訂の背景と歴史

■ISO/IEC 27001の概要

 ISO/IEC 27001は、ISO(国際標準化機構)より発行された情報セキュリティマネジメントに関する国際規格です。現在多くの組織では、このISO/IEC 27001:2013をベースにISMS(情報セキュリティマネジメントシステム)を構築し、運用されていますが、その最新版が2022年10月25日に発行され、ISO/IEC 27001:2022となりました。

 正式名称は、2013年版では「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」というタイトルでしたが、2022年版では「情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」と変更されました。情報セキュリティマネジメントシステム(ISMS)のPDCAを確立するための要求事項と、情報セキュリティ対策のための管理策が規定されています。

■ISO/IEC 27001の歴史

 情報セキュリティマネジメントシステムの始まりは、1995年に英国規格協会で作成されたBS7799という規格からでした。そのBS7799が、情報セキュリティ管理実施基準(BS7799-1)と情報セキュリティ管理システム仕様(BS7799-2)に分割され、日本でもBS7799-2がISMS適合性評価制度の基準として使用されていました。
 世界的なITの発展とともに、組織の情報セキュリティ管理の需要が高まると、BS7799-2をベースに国際規格としての開発が進み、情報セキュリティマネジメントシステム規格であるISO/IEC 27001:2005が発行されることになりました。そこからISO/IEC 27001は、2013年と2022年に、2度の改訂が行われています。

図表1 ISMS規格の発行と改訂の歴史

■ISO/IEC 27001改訂の目的と概要

 BS7799-2が2022年に改訂された際には、マネジメントシステム規格の指針に則った形にするため、国際規格のガイドであるISO Guide72:2001が適用されました。そこからISO/IEC 27001が誕生した際には、要求事項を強化するため、リスクアセスメントの見直しや管理策の有効性評価が盛り込まれました。また、附属書Aの管理策が見直され、雇用管理や第三者技術サービスの管理が強化されました。
 また、現在多くの組織が利用しているISO/IEC 27001:2013が発行された際には、ISO/IEC専門業務用指針である附属書SLが適用されたことにより本文の章立てが整理されるとともに、附属書Aの管理策が見直され、133個あった管理策が114個にまとめられました。

図表2 ISMS規格の改訂の目的と概要

■ISO/IEC 27001:2022の変更点と構成

 ISO/IEC 27001:2022は、主に以下の目的を実現するために改訂されました。

  • 2014年度の正誤表の反映
  • 2015年度の正誤表の反映
  • ISO/IEC 27002:2022との整合
  • 改訂されたISO/IEC専門業務用指針(附属書SL)との整合

 中でも、改訂に大きく影響していることとして、「ISO/IEC 27002:2022との整合」があります。ISO/IEC 27002:2022は、正式名称を「情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策」といい、情報セキュリティマネジメントシステムの管理策の目的や解説を示したものです。元々はISO/IEC 27001:2013の附属書Aと一致した項目になっていましたが、このISO/IEC 27002が先に改訂されたことにより、後からISO/IEC 27001の方で整合を図ることとなりました。
 今回の改訂では、規格要求事項の本文には若干の追加や変更がありますが、本質的な変更はありません。一方、附属書Aの管理策はA.5~A.18まであったカテゴリーがA.5~8までの4つのカテゴリーにわかりやすく整理され、114個あった管理策が93個になりました。ただし、単純に数が減ったわけではなく、統合された管理策や、新規追加された管理策があります。

図表3 ISO/IEC 27001 2022年改定の目的と概要

■改訂対応スケジュール

 前述したように、現在多くの組織はISO/IEC 27001:2013を基にISMSを構築し、運用しています。今回ISO/IEC 27001:2022が発行されたことにより、ISMS取得事業者は、新しい規格への対応(移行対応)が必要となりました。
 国際認定フォーラム(IAF)からは、ISO/IEC 27001:2022への移行に関する要求事項(認定機関や認証機関向けの要求事項)が発行され、認証の移行期限は以下のようになりました。(ISMS-ACからの通知)

  • 認証の移行期限:2025年10月31日(2022年10月31日から3年間)
  • 現行版による初回認証審査の期限:2023年10月31日(2022年10月31日から1年間)

 このことから、現在ISMS認証を保有されている組織は、2025年10月31日までに認証の移行対応を完了している必要があり、期間内に改訂版への移行を行わない場合、現行版のISMSは失効することになります。また、これからISMSを取得する企業で、2013年版での審査が受けられるのは今年(2023年)の10月末までであり、それ以降の新規認証は全て2022年版で審査を受けることとなります。
 気を付けたいのは、審査の時期が10月前後となっている組織です。移行期限までに審査を受けておけば良いということではなく、移行期限までに審査を終え、2022年度版の新しい認証書を取得する必要がありますので、移行期限ギリギリではなく、少し余裕をもって移行審査が受けられるよう、準備されることをおすすめします。

図表4 ISO/IEC 27001:2022年への移行スケジュール

 今回はISMS改訂の背景や歴史、改訂対応スケジュールなどについてご紹介しました。次回のコラムでは、規格要求事項の本文の改訂内容を解説します。