ISO27001:2022 対応日記　序章

2022 年の改定

ISO27001(ISMS)の規格が2022年に改訂されました。管理策が統合されたり、新たな管理策も追加されています。
サイボウズでも ISMS の認証を取得しており、2022年版への移行が必要です。移行期間は 2022年10月31日から 3年以内とされており、2025年10月31日までには、移行審査を完了している必要があります。

サイボウズの移行審査時期

サイボウズでは、2023年の審査が、再認証審査となっており、ISMS審査が全範囲におよび審査にかかる日数が多いことから 2024年に移行審査を実施することを意思決定しました。しかし、悠長に来年から移行準備に着手し始めると間に合わなくなる可能性もあるので、まずは 2022年度版の規格の内容を調査することから始めることととしました。

今回購入した書籍はこちら（以下、ISMS本とします。）
図解即戦力　ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書

図解即戦力　ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書

今後の記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの取り組み、移行審査の準備状況などを書いていきたいと思います。

ISMS本 第1章
情報セキュリティマネジメントシステム ISO/IEC 27001 とは

ISO規格

第1章では、[01] として、ISO規格について説明されています。国際規格であること、企業がリスクを管理するしくみについても規格化されていることが解説されています。

ISO/IEC 27001

[02]として、ISO/IEC 27001 について説明があり、ISMS認証取得制度について詳しく説明されています。認定機関、認証機関、認証組織それぞれの役割について理解をしましょう。
日本においては、ISMS認証を取得している組織は 2022年9月時点で 6,000 件を超えているようで、世界的にみても取得組織数は 2位となっているようです。

ファミリー規格

ISO/IEC 27001 以外にも関連する規格の標準化が進んでいます。それらを ISO/IEC 27000 ファミリー規格と呼んでいます。

代表的なファミリー規格に
ISO/IEC 27002
情報セキュリティマネジメントを実施するうえでのベストプラクティス
ISO/IEC 27014
セキュリティ ガバナンスの原則、プロセス
ISO/IEC 27017
クラウドサービスの利用、運用に関する規格
が存在します。

その他、どのようなファミリー規格が存在するかは、ISMS本などをご確認ください。

[PR]
サイボウズでは、2011年から ISMSの認証取得に取り組んでいます。認証を取得している範囲、認証機関などは ISMS-AC （認定機関）が公開している「ISMS認証取得組織詳細」をご確認ください。

[PR]
サイボウズが運営するクラウドの運用基盤である cybozu.com および cybozu.com 上の「Garoon」「kintone」「サイボウズOffice」「Mailwise」について、ISO/IEC 27017 の認証を受けています。ISMS-AC が公開している「詳細情報」をご確認ください。

まとめ

ISO/IEC 27001 が 2022年に改訂されています。2025年10月が移行審査を受ける期限になっているので、ISMSを取得されている企業は早めの情報収集と準備をしていきましょう。