公開:

JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説1「4. 組織の状況」

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。

このコラムでは、旧規格であるJIS Q 27001:2014(ISO/IEC27001:2013)からJIS Q 27001:2023(ISO/IEC27001:2022)への改訂にあたっての変更点を順次解説します。

改訂解説1回目のテーマは、「4.組織の状況」です。

「4.1組織及びその状況の理解」の変更点

変更箇所は、「注記」にあったISO31000のバージョンと参照先箇条番号のみです。その他に変更はありません。

この変更で何をしたらいいのか?

特にありませんが、規程等でISO31000を参照している場合はバージョンと参照先箇条番号を変更しましょう。

「4.2利害関係者のニーズ及び期待の理解」の変更点

JIS Q 27001:2014では項目が「a)」と「b)」のみだったところに、JIS Q 27001:2023では「c)」が追加されました。

「a)ISMSに関連する利害関係者」、「b」それらの利害関係者の、関連する要求事項」に加えて、上記c)の決定を要求するようになりました。

c)の「それらの要求事項」とは、b)で特定した利害関係者の要求を指します。したがいまして、b)で特定した利害関係者の要求の全てに取り組まなくてはいけないということではないということが明記されたことになります。

例えば、情報セキュリティマネジメントシステムの構築に取り組む前から利害関係者の要求を特定しているようなケースは、情報セキュリティに関連しない要求も特定されているかもしれません。

この追加で何をしたらいいのか?

規格要求に応えるだけであれば、文書の構成に応じて規程類に文言を追加する程度で、特定結果を更新する必要はありません。

ただし、上記の例のようなケース(情報セキュリティマネジメントシステムの構築に取り組む前から利害関係者の要求を特定しているようなケース等)においては、情報セキュリティに関連し、構築するISMSにおいて取り組む(例えばその要求をふまえてリスクを特定する等)要求を特定する必要があります。

なお、マネジメントレビューのインプットに取り上げられていることを考慮し、特定結果を規程などに直接盛り込む(記載する)よりは単独の文書(前述の規程とは別の文書)として策定するほうが適切と考えられます。マネジメントレビューのインプットとして取り上げられているということは、要求は移ろうものという前提だからです(規程等に直接盛り込むと、改定の際に承認が必要となり、要求が変化した際の反映に手間がかかることが多いです)。

「4.4情報セキュリティマネジメントシステム」の変更点

JIS Q 27001:2023では「4.4情報セキュリティマネジメントシステム」に、プロセスとその相互作用に関する文言が追加されました。JIS Q 9001 の4.4では既に設けられていた文言です。

プロセスとは、文書管理、内部監査、契約、製造、サービスの提供といった組織の活動そのものです。

また、相互作用とは、難しく言えば「インプットがアウトプットに変換される活動」となります。例えば、4.1で決定した課題が6.1でリスクを特定する際の前提(インプット)となるような関係です。もっと身近な活動としては、お客様からのご要望が、製造する製品やサービスの仕様を決めるような関係です。お客様からのご要望がインプットとなって、製品やサービスがアウトプットとして製造・提供されるということです。単純化すると、場当たり的な活動ではなく、根拠のある活動を求めているとお考えください。

この変更で何をしたらいいのか?

この変更ですべきことは、特にありません。既に認証を取得されている組織であれば、適合しているはずなので、審査への影響は小さいはずです。ただし、あらためてこの相互作用を意識して見直しをされると、より有効なマネジメントシステムとなる可能性はあります。

ISMSを2022年版(JIS Q 27001:2023)に移行するための主なタスクなど、移行の詳細は、JIS Q 27001:2023(ISO/IEC27001:2022)への移行支援のご案内をご覧ください。

次回は、「5. リーダーシップ」の変更点を解説します。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00