コンサルティング内容:ISO/IEC27001:2022への規格改訂対応
ISO/IEC27001:改訂の背景
2022年、情報セキュリティマネジメントシステム(ISMS)の国際規格ISO/IEC27001は2013年版から2022年版へ改訂されました(9年ぶり)
背景として急速なデジタル技術の発展とそれに伴う情報セキュリティリスクの増大があります。近年、スマートフォンやクラウドサービスの普及、デジタルデバイスの高速化・大容量化が日進月歩で進む中、それに呼応するように情報セキュリティリスクが増大しています。サイバー攻撃は巧妙になるなど、企業としても従来以上のセキュリティ対策が必要になっています。
今回の主な改定は「管理策」です。管理策とは、リスク低減のための具体的な対策や活動を指します。
顧客はシステム開発会社
今回、規格改定コンサルティングを行った企業様はシステム開発会社です。ソフトウェア開発、システム開発、企業向け社内LAN構築、マイクロコンピュータを使ったファームウェア開発なども行っています。特に日本国内の大手製造業から長年にわたり業務委託を受けており、歴史も長く信頼性の高い企業として栃木県内でも存在感のあるシステム開発企業です。
かつて前の規格である2013年版の時に認証取得コンサルティングを行わせていただいたご縁で、今回もエルシーアールに声をかけていただきました。
主な改訂内容は管理策
今回の改訂で、管理策は従来(2013年版)の14の箇条・114の管理策に対し、今回2022年版では4つの箇条・93の管理策に変更されました。
4つの箇条
・組織的管理策(37)
・人的管理策(8)
・物理的管理策(14)
・技術的管理策(34)
適用宣言書の改訂
コンサルティングのなかでは上記の管理策の変更に合わせた「適用宣言書」の変更対応が主なコンサルティング内容でした。これまで用いてきた適用宣言書を改めて整理し、追加された管理策についても実施状況を確認し、不足があれば実施できるよう社内体制を整えていきました。
コンサルティングの成果物
今回は規格の改訂対応でしたので、コンサルティングの中で下記の成果物を作成しました。
・情報セキュリティマニュアル
・情報資産管理台帳
・情報セキュリティルールブック
・内部監査チェックリスト(2022年版対応)
・適用宣言書
移行審査結果
この企業様は2022年版の移行期限である2025年10月に対してゆとりをもって2024年に移行審査を受け、特に大きな指摘を受けることなく、規格の移行を完了することができました。この企業様は改定された情報セキュリティ体制を今後も維持し、変化が著しいシステム開発事業を展開していくことと思います。
※「ISO認証」取得支援コンサルティングについてはこちらをご覧ください
株式会社エルシーアール 取締役 事業推進部長 若色 宏幸