公開:

JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説3「6.計画」

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。

このコラムでは、旧規格であるJIS Q 27001:2014(ISO/IEC27001:2013)からJIS Q 27001:2023(ISO/IEC27001:2022)への改訂にあたっての変更点を順次解説します。

前回2回目のテーマ「5.リーダーシップ」に引き続き、改訂解説3回目のテーマは、「6.計画」です。

「6.1.3情報セキュリティリスク対応」の変更点

注記の表現が変更され、「管理目的」に触れられなくなりました。とは言え、附属書Aの項目から管理目的が削除されたことによる形式的な表現変更であり、実態上の影響はありません。

この変更で何をしたらいいのか?

上記の変更に伴うタスクはありません。なお、ISO/IEC27002では管理策ごとに管理目的まで案内されています。管理目的は、管理策の有効性評価の際の評価基準策定の参考になりますので、機会があればご覧になってください。

ただし、上記以外の要求事項の変更はありませんが、d)で要求される適用宣言書は必ず見直しが必要です。附属書Aの内容が大きく変わっているためであり、具体的なタスクは以下の通りです。

  1. 1.検討対象となる管理策の見直し(新たな管理策を対象に追加し、統合された管理策を反映する必要があります)
  2. 2.管理策を採用した理由の記載
  3. 3.採用とした管理策を実際に実施しているかどうかの記載
  4. 4.附属書Aの管理策のうち、採用しない管理策について採用しない理由の記載

以上です。

注意すべきは、上記1~3については附属書Aの管理策に限らないということです。リスク対応において附属書Aに含まれない管理策を採用したのであれば、その記載も必要です。逆に、4の対象は附属書Aの管理策に限られます。

また、3において、管理策を採用したが実施はしていないというケースが有り得ます。例えばデータマスキングの管理策において、匿名加工情報を取り扱う場合のマスキングの手順を定めてはいるが、実際は匿名加工情報の取扱いが無いので運用していないようなケースが該当します。

「6.2情報セキュリティ目的及びそれを達成するための計画策定」の変更点

d)とg)が追加されました。「d)これを監視する」は、JIS Q 9001で既に設けられていた項目です。目的(この目的は、日本語だと目標のほうが近いです)設定後、結果が出るまで放置するのではなく、監視することが求められます。最終評価だけでは足りないということです。旧版で明記はされていませんでしたが、実態上は規格の趣旨を鑑みて審査で問われることもありましたので、すでに適合している組織は多いはずです。

「g)文書化した情報として利用可能な状態にする」は、保持するだけでは足りないということです。例えば、整頓されていない状態で倉庫の奥に書類が眠っているような状態は、利用可能とは言い難いため、不適合となる可能性があります。

なお、この「利用可能な状態にする」という文言は他の要求でも見受けられますが、全て同様の意味(保存しているだけでは足りないという意味)です。

この変更で何をしたらいいのか?

「d)これを監視する」については、監視の結果を記録に反映する必要があるので、現状によっては記録様式そのものを改定し、監視の結果(例えば月次の進捗確認)を記録する必要があります。

「g)書化した情報として利用可能な状態にする」は、実態上はほぼ有り得ないと思われますが、利用が容易ではない保管状態である場合は、保管の手法を見直しましょう。また、保管場所自体が認識されていない場合は、その周知も必要です。

「6.3変更の計画策定」の内容

JIS Q 27001:2014では6項は6.2まででしたが、新たに「6.3変更の計画策定」が設けられました。

ISMSの変更とは、例えば「文書管理の方法を変更する」「内部監査の頻度を変更する」といった手順や基準の変更等のISMSを構成する要素を変更することを指します。変更する場合は、「思い付き」「何となく」「行き当たりばったり」ではなく、計画的に実行することを要求しているとお考えください。

なお、計画的にとは、次のような事項をあらかじめ検討することを意味しています。

  1. 1.変更した場合にどのようなことが起こる可能性があるのか(例えばどのようなリスクがあるのか)。
  2. 2.変更によって要求事項(規格要求、法的要求、顧客要求等)から逸脱してしまわないか
  3. 3.変更するために・変更した後どのような資源(人手、設備、資金等)が必要か
  4. 4.変更後の責任や権限の割り当て

ちなみに、この要求はJIS Q 9001等には既に設けられています。

この変更で何をしたらいいのか?

箇条6.3自体に文書化の要求はありませんが、箇条8.1で箇条6の活動に関する記録を要求しています。

具体的には、前述の1~4のような事項について検討したことの記録として、変更を承認する際の経緯を記録した議事録や稟議書、リスク分析の結果、変更の計画書などが該当します。

ISMSを2022年版(JIS Q 27001:2023)に移行するための主なタスクなど、移行の詳細は、JIS Q 27001:2023(ISO/IEC27001:2022)への移行支援のご案内をご覧ください。

次回は、「7.支援」の変更点を解説いたします。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00