ISMS取得を目指すとき、まずは過去のISMS関連規格やガイドラインを学ぶことから始めるセキュリティ担当者も多いと思います。しかし、この時、注意するべきことがあります。なぜなら、ISMS規格自体がブラッシュアップされて何度も改訂されているため、古い規格を参照しても意味がない場合もあるからです。
過去の規格やガイドラインでは頻出していた「情報資産」や「資産台帳」という言葉も、現在の規格(ISO27001:2022年版)では姿を消しているのです。
そこで今回は、この背景を整理しながら、現行規格で企業がどのように情報セキュリティを捉え、管理体制を構築していくべきかを考えていきたいと思います。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
ISMS規格も進化していく
ISMSの準拠規格である「ISO27001」の2005年版が登場した当初、「情報資産」という表現が頻繁に使われていました。また、それらの情報資産は、「情報資産台帳」や「資産管理台帳」といった形でリスト化することが推奨されていました。台帳形式の管理は、組織が自ら保有する情報を棚卸しする役割を果たし、ISMSのリスクアセスメントに欠かせないツールとされていました。
しかし、最新版である2022年版では「情報資産」や「台帳」という用語は姿を消しました。実際に、現在の2022年版では、以前のような「情報資産台帳」を作成することは求めていません。
この背景には、「資産」という言葉が「固定資産」や「財産」をイメージさせるところから、「情報機器台帳」のようになってしまい、肝心の「情報」を取り巻く「リスク」を明確にして、必要なリスク対策を実施するというISMSの基本から乖離してしまったという反省があるようです。
昨今の社会全体のデジタル化やサイバー犯罪が増加している今の時代に合わせて、規格も進化していったのです。
現在のISMS規格が求めているのは「情報及びその他の関連資産の目録」
現在の「ISO27001」2022年版では、情報の取り扱いやリスク対応に関して、下記の対応を求めています。
・「情報及びその他の関連資産」の「目録」
情報及びその他の関連資産の目録を、それぞれの管理責任者を含めて作成し、維持しなければならない。
・情報セキュリティリスクアセスメント
情報セキュリティのリスク基準を確立し、情報セキュリティリスクを特定し、分析し、評価する。
・情報セキュリティリスク対応
リスクアセスメントの結果を考慮して、適切な情報セキュリティリスク対応の選択肢を選定し、情報セキュリティリスク対応を実施する。
つまり、作成するべきなのは「情報資産台帳」ではなく、「情報及びその他の関連資産の目録」であり、その目録にもとづいてしっかりとリスクアセスメントをすることを2022年版のISO27001は求めています。
最新版に基づいて準備を進めよう
ISMSの審査におけるISO27001:2022年版への移行は、2025年10月31日が期限となっています。既に事実上全ての審査が2022年版に移行したといえます。
2022年版での改定ポイントをまとめると、下記の2点となります。
1. 適用宣言書の改訂
2. 運用ルールの見直し
2022年版への移行によって、附属書Aの管理策の構成が変わります。そのため、適用宣言書を新規格に合わせて更新する必要があります。これに伴い、新たに11の管理策が追加となり、それらが適用されているかどうかの確認も必要です。
既存の運用ルールの中で、11の管理策が実現されていない場合には、そのルールを追加することが必要になります。
ルールの見直しまで終えたら、新規格に適応した状態でPDCAサイクルを一度完了させましょう。規格改訂によって変更が生じた部分や、まだ未確認の部分については、必ず実施することが求められています。
このように、新たにISMSを取得する場合や、ISMSの運用を維持するためには、いつも最新版の情報に基づいて準備を進めることが求められます。くれぐれも古い情報に従うことで、審査で不適合を受けたり、対応が二度手間にならないように注意してください。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
