JISQ27001:2023が2023年9月20日に発行
ISMSの要求事項であるISO/IEC 27001:2022の日本語版であるJISQ27001:2023が9月20日に発行されました。一般社団法人日本規格協会のWEBサイトで購入できます。また日本産業標準調査会のサイトでも閲覧できます(事前にユーザー登録が必要です)。
ISMS 移行審査の状況
ISMSにつきましては、今年の春くらいからISO/IEC27001:2022による移行審査や新規取得審査が行われております。弊社も2023年8月にサーベイランス審査の際に移行審査を終えております。
まだ審査員の方々も審査実績が少ないので、審査機関や審査員により多少の規格解釈に差が生じることはあるかもしれませんが、来年くらいからは統一的な審査になっていくと思われます。言い換えると移行審査を早めに受けた方が、審査対応は楽かも!?
新規格JISQ27001:2023の概要
今回の改訂は、実質的には附属書Aの管理策(“IS=情報セキュリティ”部分)に関わるISO/IEC27002:2022の影響が大きいところです。とはいえ運用担当者の力量向上、適用宣言書の作り替え等、本文(“MS=マネジメントシステム”部分)への運用上の影響はあります。
目立つ変化としては、タイトルが「情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティマネジメントシステム-要求事項」となっている点です。ランサムウェアの被害等、サイバー攻撃による脅威が増してきており、不正アクセスされると個人情報等、重要情報が漏えいしたりサーバの暗号化で事業の中断を余儀なくされたりします。その辺りを意識した管理策も散見されます。
規格本文は前回の改訂で共通文書化の附属書SLの改訂点を反映したものです。新たに「6.3 変更の計画」が追加されたり、「9.2 内部監査」「9.3 マネジメントレビュー」の箇条が細分化されたり、見た目に大きな変化はありません。その他、細かい文言修正等はありますが、MS運用において大きな変化はないといえます。
附属書Aについては、管理策が114個から93個に減りましたが、そのうち11個が新規管理策です。従来の管理策は整理統合化されて管理策名も変更になっているものが多いので、新旧対照表などを使って、管理策のレビューをする必要があります。
ただ管理策の参考情報であるISO/IEC27002:2022の日本語化はまだこれからという状況ですので、移行審査を受けるにあたっては英和対訳版を購入して手引等の参考情報をチェックした方がいいでしょう。10月のセミナーでは、この英和対訳版をベースに管理策の実践的な活用事例を交えながら、新規管理策についても解説していきます。
規格はモデル(架空の組織への憧れを捨てる)
規格改訂の目的
今回の規格改訂は、附属書Aの管理策を参照しているISO/IEC27002:2022の内容を反映することでした。特にサイバーセキュリティ対策、クラウドサービスやリモートワークの普及による情報セキュリティを取り巻く環境変化への対応を重視したためのようです。
変化は組織が起こすもの
規格改訂で「6.3 変更の計画策定」をどのように実施して移行審査に及んでいるのかが審査されます。しかし、ISMSの変更の必要性は、ここ数年で組織は意図的に行ってきています。規格改訂前の2020年から世界的なコロナ禍による大きな環境変化に対応しなければいけませんでしたし、今年の5類移行によりコロナ前の状況に戻すのか、すっかり普及したリモートワーク中心で事業を継続していくのかなど、かなりドラスティックな対応をしてきているはずです。
組織の意思決定が大切
このあたりは箇条4組織の状況において、すでにリスクと機会を踏まえたリスクアセスメントや必要に応じてリスク対応計画をしてきた組織が大半のはずです。このように規格や法令に組織のリスクアセスメントを合わせていたのでは時代遅れになりかねません。
管理策についても同様で、あらたに「5.23 クラウドサービスの利用における情報セキュリティ」は審査実務でも「供給者関係」のところでチェックされていました。コロナ禍で社内サーバを廃止してクラウドのファイル共有サービスに移行した組織もあります。
このように組織の意思決定で情報セキュリティに関する取り組みは行われているのに、規格要求事項への当てはめが不十分だと審査対応がうまくいかないのです。
規格に憧れるのをやめましょう
規格が想定しているのは、架空の組織の理想的モデルの一つです。ISMS取得を目指す際、これを目標にすると無理が生じます。ISMSの導入・運用は組織のニーズに合わせた規模で行えばよいのです。何が正しいISMS運用かは組織が決めるものであって、審査員や規格に決められるものではありません。
審査の際、審査員の方がよく「審査機関は受審組織にとってのパートナーである」という趣旨のことを言われます。まさに審査で欠点や粗を探そうとしているのではなく、受診組織にとってより効果的で効率的なISMS運用に資するために審査をしてもらっているのです。
ISMS(情報セキュリティマネジメントシステム)とは
ISMSの審査において「不適合」が出ることはほとんどありません。それは当然のことで、「ISMSは、リスクマネジメントプロセスを適用することによって、情報の機密性・完全性・可用性を維持し、なおかつリスクを適切に管理しているという信頼を利害関係者に与える」ものだからです。「審査員に言われたから、規格が要求しているから」といった理由でISMS運用を行うのは本末転倒です。
むしろ「我々の組織においてISMSとは、こういうものなんです」と利害関係者に語れるくらいでちょうどいいのです。その意味でISMSの変更の必要性は「サイバーセキュリティとプライバシー保護」への取り組みをどのようにアピールできるかにもかかっているといえます。
ISMSの詳しい説明はこちら
