ISO/IEC 27001:2022への対応について
【2023年4月現在】
ISO/IEC 27001の定期見直しに伴い、2022年10月25日にISO/IEC 27001:2022が発行されました。
これに伴い以下のとおり処置が必要となりますので、対応方宜しくお願い致します。
1.認証の移行について
(1)認証登録されている既存の組織は、改訂版発行月の末日から36か月以内にJIS Q 27001:2023(ISO/IEC 27001:2022)認証への移行を完了しなければなりません。
但し、再認証審査(更新審査)については、JIS Q 27001:2014(ISO/IEC 27001:2013)での審査が、改訂版発行月の末日から18か月以内となりますので、2024年5月以降は移行審査が必須です。
※特に2024年度に登録の有効期限を迎える組織は早めの準備が必要です。
(2)移行期間内に新規格への移行ができないと、ISMSの認証は無効となります。
※不適合の場合の対応、判定委員会の期間等を考慮し、2025年8月末までに移行審査の完了をお願い いたします。
(3)移行審査の工数は原則以下のとおりです。
・維持審査に合わせて実施する場合は、1.0人日の工数を加えます。
・更新審査に合わせて実施する場合は、0.5人日の工数を加えます。
・単独で行う場合は、1.0人日の工数で実施します。
(4)移行審査では主に以下の確認をします。
・移行に伴い変更したISMSに関する文書化した情報
・移行に関する教育の実施状況
・移行に伴うISMS(規格本文)の運用状況
・移行に伴うISMS(管理策)の運用状況
・移行に関する内部監査の実施状況
・移行に関するマネジメントレビューの実施状況
2.規格の改訂概要と対応のお願い
ISMS本文は、構成や用語の定義は変わらず、要求事項の追加や変更は少ない状況です。ISMS管理策は、構成が4群(93項)に変更され、11の管理策が新規に追加されていますので、リスクアセスメントの実施、適用宣言書の作成等に反映して下さい。
なお、規格の変更点は移行審査で必ず確認しますので、文書化、教育、運用、内部監査、マネジメントレビューを計画的に実施願います。
3.今後の予定
現在の情報では、ISMS−AC主催による「移行に関する研修会(組織様向け)」が5月頃に計画されているようです。JATEとしては、JIS発行(2023年夏頃の予定)以降に、組織の皆様に対して移行時期を把握するためのアンケートをお願いする予定です。また、必要に応じて説明会等の開催も検討していきます。
参考情報ですが、早めに移行準備をされる場合は、ISO/IEC 27001:2022の対訳版(日本規格協会2022.10発行)等のご利用もご検討ください。