Skip content

どのようなサービスをお探しですか?

ISO/IEC 27001:2022の発行に伴い、組織は3年以内に2013年版からの移行を完了する必要があります。このページでは、移行準備から認証取得までを段階的に進めるための10ステップをご紹介します。各ステップは、リスク評価、管理策の見直し、SoAの更新など、実践的かつ的確なアクションで構成されています。

ISO/IEC 27001:2022は、2022年10月25日に発行された情報セキュリティマネジメントシステム(ISMS)の最新版であり、これによりISO/IEC 27001:2013からの正式な移行が求められます。新バージョンでは、附属書Aの管理策が再構成され、目的や属性といった新しい構造が導入されています。認証を維持するには、企業は2025年10月までにこれらの変更点を反映し、移行審査を完了する必要があります。移行は、最新の脅威や規制に対応する情報セキュリティ体制の強化につながります。

 

なぜ移行が必要か

ISO/IEC 27001:2022では、附属書Aの管理策が114項目から93項目に再構成され、新たに11項目の管理策が導入されました。また、「属性」や「目的」が追加されるなど、実務に影響を与える変更点も多数存在します。これらに対応し、情報セキュリティマネジメントシステム(ISMS)を継続的に強化するためには、計画的な移行が不可欠です。

 

ISO/IEC 27001:2022 移行のための10ステップ

  1. 変更点を理解する
    ISO 27001:2022 の附属書 A に新しいセキュリティ管理策の機能が追加されたため、ISO 27002:2022 の理解を深める必要があります。これは、新たな規格の最も重要な改訂部分になります。
    ISO 27002:2022 は再構成され、114 ではなく 93 の管理策を備え、以下の 4 つの異なるテーマに分割されています。
    組織
    人材
    物理的
    技術的
    旧バージョンの 53 の管理策が 24 に統合され、11 の新たな管理策が追加されました。多くの管理策は規格の解釈および実施方法に影響を与える可能性のあるテキスト変更が行われています。

  2. 教育研修の必要性を評価する
    チームメンバーが規格に関する知識を習得し、変更を効果的に実施できるようにするための教育研修プログラムを作成します。
    LRQA の ISO 27001 教育研修コースは、すべての経験レベルに対応した以下のようなプログラムを提供しています:
    規格紹介コース
    規格導入コース
    内部監査員コース
    審査員コンバージョンコース
    主任審査員コンバージョンコース
    マネジメントブリーフィング
    提供方法はオンサイト、リモート、または組み合わせが可能です。

  3. 既存の管理策についてギャップ分析を実施する
    ISO 27002:2022 に含まれる管理策およびリスク処理を評価するギャップ分析により、移行前に対処すべき領域を特定します。附属書 B を参考に、旧バージョンとの管理策の対応関係を確認することが推奨されます。

  4. リスク評価を再確認する
    リスク評価は、目的や状況、ビジネスの性質、リスクに対する考え方と整合していることを確認し、必要に応じて更新します。ISO 27005 のガイドラインを活用すると良いでしょう。

  5. リスク対応計画(RTP)を改訂する
    脅威への対応に関する意思決定を反映するために、RTP を改訂し、附属書 A の管理策の中から適切なものを選定します。必要に応じて LRQA による追加ギャップ分析を依頼することも可能です。

  6. 適用宣言書(SoA)を改訂する
    管理策の採用または除外についての証拠と正当性を文書化します。自社の ISMS が RTP に準拠した管理策を実装していることを明確にする必要があります。

  7. 移行審査の時期を検討する
    審査員は附属書 A の管理策を中心に、規格要求事項への適合状況を評価します。審査結果に基づき報告書が作成され、是正が必要な事項が指摘されます。

  8. 審査を完了し、変更を実施する
    審査で得られたフィードバックを反映し、必要な変更を実施します。この時点で ISMS の有効性とサイバーレジリエンスが強化されていることが期待されます。

  9. ISO 27001:2022 認証取得を進める
    認証は国際的に認められたベストプラクティスの証明であり、ビジネス機会の拡大と利害関係者からの信頼を得る手段となります。

  10. 継続的改善に注力する
    認証取得後も、ISMS の効果を維持するために PDCA を活用して継続的改善を行うことが重要です。LRQA による定期審査がその取り組みをサポートします。

 

LRQAによる包括的な移行支援

LRQAは、ISO/IEC 27001:2022へのスムーズな移行を実現するため、以下のような包括的な支援を提供しています:

  • ギャップ分析・事前評価による現状把握
  • 文書・プロセスの見直し支援
  • 教育・研修プログラム(担当者・内部監査員向け)
  • 審査計画の調整と柔軟な実施方法(オンサイト・リモート)
  • 他の規格(ISO 9001, ISO 14001 など)との統合審査への対応

 

ISO/IEC 27001:2022移行ガイドをダウンロード