ISO/IEC 27001:2022への対応について

【2023年9月現在】

１．JIS Q 27001:2023発行について
　2023年9月20日にJIS Q 27001:2023が発行されました。これに伴い、
　"ISO/IEC 27001:2022"は、"JIS Q 27001:2023(ISO/IEC 27001:2022)"
　に読み替えます。
　※クラウドセキュリティの対応については、ISMS-ACのホームページをご覧ください。
　認証の移行については、以下の2023年4月に掲載した内容のとおりです。
　組織の皆様には、早めに移行計画のご検討をお願いいたします。

２．今後の予定
　組織の皆様に対して、移行時期を把握するためのアンケート調査を10月上旬にお願い
　する予定です。


【2023年4月現在】

　ISO/IEC 27001の定期見直しに伴い、2022年10月25日にISO/IEC 27001:2022が発行されました。
　これに伴い以下のとおり処置が必要となりますので、対応方宜しくお願いいたします。

１．認証の移行について
(1)認証登録されている既存の組織は、改訂版発行月の末日から3６か月以内にJIS Q 27001:2023（ISO/IEC 27001:2022）認証への移行を完了しなければなりません。
　但し、再認証審査（更新審査）については、JIS Q 27001:2014（ISO/IEC 27001:2013）での審査が、改訂版発行月の末日から18か月以内となりますので、2024年5月以降は移行審査が必須です。
　※特に2024年度に登録の有効期限を迎える組織は早めの準備が必要です。

(2)移行期間内に新規格への移行ができないと、ＩＳＭＳの認証は無効となります。
　※不適合の場合の対応、判定委員会の期間等を考慮し、2025年8月末までに移行審査の完了をお願いいたします。

(3)移行審査の工数は原則以下のとおりです。
　・維持審査に合わせて実施する場合は、1.0人日の工数を加えます。
　・更新審査に合わせて実施する場合は、0.5人日の工数を加えます。
　・単独で行う場合は、1.0人日の工数で実施します。

(4)移行審査では主に以下の確認をします。
　・移行に伴い変更したＩＳＭＳに関する文書化した情報
　・移行に関する教育の実施状況
　・移行に伴うＩＳＭＳ（規格本文）の運用状況
　・移行に伴うＩＳＭＳ（管理策）の運用状況
　・移行に関する内部監査の実施状況
　・移行に関するマネジメントレビューの実施状況

２．規格の改訂概要と対応のお願い
　ISMS本文は、構成や用語の定義は変わらず、要求事項の追加や変更は少ない状況です。ISMS管理策は、構成が4群（93項）に変更され、11の管理策が新規に追加されていますので、リスクアセスメントの実施、適用宣言書の作成等に反映して下さい。
　なお、規格の変更点は移行審査で必ず確認しますので、文書化、教育、運用、内部監査、マネジメントレビューを計画的に実施願います。

３．今後の予定
　現在の情報では、ＩＳＭＳ−ＡＣ主催による「移行に関する研修会（組織様向け）」が5月頃に計画されているようです。ＪＡＴＥとしては、ＪＩＳ発行（2023年夏頃の予定）以降に、組織の皆様に対して移行時期を把握するためのアンケートをお願いする予定です。また、必要に応じて説明会等の開催も検討していきます。

　参考情報ですが、早めに移行準備をされる場合は、ISO/IEC 27001:2022の対訳版（日本規格協会2022.10発行）等のご利用もご検討ください。