ISO/IEC 27001:2022 移行期間は？

2022年10月に発行されたISO/IEC 27001: 2022年版の移行期限となる、発行日の月末から3年間、2025年10月31日まで、残り18カ月となりました。

2013年度版でISO/IEC 27001を取得されている組織では、この期限までに新しい規格へ移行することが必要になります。

また、1か月後の2024年5月1日からは2013年度版での新規の認証取得もできなくなり、新規でISO/IEC27001を認証取得される組織は、2022年度版で審査を受ける必要があります。

このISO/IEC 27001: 2022への移行審査や新規認証審査までに、組織は、要求事項に基づいてPDCAを一通り運用しておくことも必要になりますので、まだ、対応されていない組織にとっては期限を前に対応を急がれる必要があります。

さて、今回の改訂ポイントは、

• 管理策のカテゴリーを14から4へ削減
• 35の管理目的を削除し、新しい管理階層を作成
• 2013年版の114の既存の管理策を、2022年版では82の管理策に統合
• 11の新しい管理策を作成

すでに、ISO/IEC 27001: 2013の認証を取得している組織としては、2022年度版への改訂に伴って、管理策が大幅に変更されていることから、管理策の番号の変更、新たな管理策の特定などを行い、適用宣言書の改訂が必要になります。

また、管理策の見直しに伴い、ISMS文書、プロセス、手順の変更が必要となる場合があります。この際、既存の管理策について、順守するために、これまでのやり方を継続するのか、これまでと異なるやり方を行う必要があるかどうかを確認する必要があります。

対応が必要な新たな管理策については、日々の業務に組み込んで、適合の証拠を得るために、現在の作業を変更する必要があります。

Nemko Japanでは、ISO/IEC 27001新規認証だけでなく、他の認証機関で2013年度版で認証を取得されている組織の認証移転審査も対応しています。

ご不明な点などございましたら、japan@nemko.comまでお気軽にお問い合わせください。