公開:

JIS Q 27001:2023(ISO/IEC27001:2022)改訂解説5「8.運用」

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。

このコラムでは、旧規格であるJIS Q 27001:2014(ISO/IEC27001:2013)からJIS Q 27001:2023(ISO/IEC27001:2022)への改訂にあたっての変更点を順次解説します。

前回4回目のテーマ「7.支援」に引き続き、改訂解説5回目のテーマは、「8.運用」です。

ここでは、「8.1運用の計画策定及び管理」のみが変更されています。

「8.1運用の計画策定及び管理」の変更点(1)

趣旨に変化は無く、要求事項(この要求事項は、利害関係者の要求等を含む広い意味での要求事項です)を満たすため、にプロセス(所謂手順などです)を決め、それを実施、管理することを求めています。また、箇条6で定めたプロセス(リスクアセスメントなどの手順)を実施し、管理することを求めています。

変更点としては、JIS Q 27001:2014では箇条6.1、6.2と個別に指定して記述されていた内容が、箇条6という表現に統合された記述になりました。箇条6を包括的に対象とする表現になったということです。それに伴い、6.2の目的達成のための計画が実施するだけでなく、管理対象になったと明記されたということになりますが、実態上6.2で設定する目的は元々管理される前提の要求でしたので、通常追加のタスクは発生しないと思われます。

なお、箇条6に6.3が追加されたので、必然的に6.3も対象となります。

また、文書化に関する要求が「文書化した情報を保持しなければならない」が「文書化した情報を利用可能な状態にしなければならない」に変更されていますが、趣旨は6.2と同じです。

(1)の変更で何をしたらいいのか?

箇条6.3で解説した変更管理の手順が無ければ策定しましょう。6.3の解説で触れた「変更の影響」「変更及び変更後の運用に必要な資源」「変更後の責任や権限の割り当て」をあらかじめ検討し、承認を得てから変更を行うといった手順が想定されます。また、その手順に従った実施と実施記録(計画書、議事録、稟議書等)の作成が必要です。

「8.1運用の計画策定及び管理」の変更点(2)

外部委託したプロセスの管理を要求されていたところに、プロセスに加えて「製品」と「サービス」も対象に追加されました。

プロセスだけでなく、製品やサービスも管理の対象であることが明確になりました。したがって、外部委託した業務だけでなく製品を購買した場合はその製品、サービスを利用した場合(例えばコンサルティングサービス等)は、そのサービスの管理が必要となります。

(2)の変更で何をしたらいいのか?

製品やサービスが管理対象として認識されていない場合は、管理対象の見直しが必要です。また、対象を追加した場合はその管理方法を定めて実施する必要があります。

ISMSを2022年版(JIS Q 27001:2023)に移行するための主なタスクなど、移行の詳細は、JIS Q 27001:2023(ISO/IEC27001:2022)への移行支援のご案内をご覧ください。

次回は、「9.パフォーマンス評価」の変更点を解説いたします。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00