JIS Q 27001:2023（ISO/IEC27001:2022）改訂解説1「4. 組織の状況」

「4.1組織及びその状況の理解」の変更点

変更箇所は、「注記」にあったISO31000のバージョンと参照先箇条番号のみです。その他に変更はありません。

「4.2利害関係者のニーズ及び期待の理解」の変更点

JIS Q 27001:2014では項目が「a）」と「ｂ）」のみだったところに、JIS Q 27001:2023では「c）」が追加されました。

「a）ISMSに関連する利害関係者」、「b」それらの利害関係者の、関連する要求事項」に加えて、上記c）の決定を要求するようになりました。

c）の「それらの要求事項」とは、b)で特定した利害関係者の要求を指します。したがいまして、b)で特定した利害関係者の要求の全てに取り組まなくてはいけないということではないということが明記されたことになります。

例えば、情報セキュリティマネジメントシステムの構築に取り組む前から利害関係者の要求を特定しているようなケースは、情報セキュリティに関連しない要求も特定されているかもしれません。

「4.4情報セキュリティマネジメントシステム」の変更点

JIS Q 27001:2023では「4.4情報セキュリティマネジメントシステム」に、プロセスとその相互作用に関する文言が追加されました。JIS Q 9001 の4.4では既に設けられていた文言です。

プロセスとは、文書管理、内部監査、契約、製造、サービスの提供といった組織の活動そのものです。

また、相互作用とは、難しく言えば「インプットがアウトプットに変換される活動」となります。例えば、4.1で決定した課題が6.1でリスクを特定する際の前提（インプット）となるような関係です。もっと身近な活動としては、お客様からのご要望が、製造する製品やサービスの仕様を決めるような関係です。お客様からのご要望がインプットとなって、製品やサービスがアウトプットとして製造・提供されるということです。単純化すると、場当たり的な活動ではなく、根拠のある活動を求めているとお考えください。