JIS Q 27001:2023(ISO/IEC 27001:2022対応)を反映したISMSユーザーズガイドを公表 JIPDEC
日本情報経済社会推進協会(JIPDEC)はこのほど、ISMSユーザーズガイドを改訂し公表しました。JIPDECの公式サイトから無料で閲覧できます。
以前のISMSユーザーズガイドはJIS Q 27001:2014を認証基準としたもので2014年に発行されました。今般の改訂は認証基準がJIS Q 27001:2023へと改正されたことに伴うものです。JIS Q 27001:2023は国際規格のISO/IEC 27001:2022(※)を邦訳し国内規格として発行されたもので、ISO規格と同じ内容であることが認められています。
公開されたユーザーズガイドの正式な名称は「ISMSユーザーズガイド-JIS Q 27001:2023 (ISO/IEC 27001:2022対応)」です。JIPDECの公式サイトによると、ISMS認証基準(JIS Q 27001:2023)の要求事項について一定の範囲でその意味するところを説明しているガイドとなります。JIS Q 27001:2023には、ISMSをどのように構築、実施、維持、改善すべきなのかが記されており、管理策も記載されています。
ガイドの主な読者として想定されているのは、ISMS認証取得を検討しているか着手している組織において、実際にISMSの構築に携わっていたり、責任者を務めたりしている人たちです。JIS Q 27001:2023 の附属書A(規定)「情報セキュリティ管理策」の詳細については、管理策の指針であるJIS Q 27002:2024を参照するよう記されています。JIS Q 27002:2024は管理策を導入する際のガイドラインとなります。
なお、ISMSは情報セキュリティマネジメントシステムのことであり、ISMS適合性評価制度とは企業がISMSを適切に構築・運用しているかを審査機関が評価しISMS認証基準に適合していることを認証する仕組みです。認定機関であるISMS-AC(情報マネジメントシステム認定センター)がISMS認証機関を認定し、事業者はISMS認証機関から認証を取得します。
ISMS-ACは、公式な認証機関からISMS認証を取得することは、国際規格を満たした適切な審査による認証という付加価値があると説明しています。なお、日本における同制度はJIPDECが2002年度から本格運用を開始しましたが、認定機関としての独立性を強化するためこの業務を移管することになり、2018年に法人化されたISMS-ACが担っています。
※ISO/IEC 27001:2022は2022年10月に発行され、ISO 27001:2013からの大きな変更点は管理策となります。14カテゴリ114管理策であったものが、4カテゴリ93管理策となりました。
