(パート 2) ISO/IEC 27001:2022 変更点は? 新しい管理策の詳細と改訂の影響
2022年10月、ISO/IEC 27001 が改訂され、2020年版が発行されました。その改訂の概要について、CQI を代表して ISO の JTC1/SC27 (ISO 27000シリーズを担当する委員会) に参加するリチャード・グリーン (Richard Green, CQP FCQI) がパート1とパート2 の2回にわたり解説します。パート2では、ISO/IEC 27001 の今回の変更点について、2013年版と2022年版の管理策の比較や、箇条4から箇条10に関する修正点などを詳しく見ていきます。また、今回の変更が組織のISMS をマネジメントする担当者にとって、どのような影響があるのか、また審査員/監査員にとって、どのような影響があるのかを探ります。
パート1 の復習
この記事のパート1では、組織の情報資産の機密性、完全性、可用性を保護することがなぜ重要なのかを説明し、このリスク軽減プロセスを支援するために組織が採用できる管理策 (「リスクを修正 (modify) する対策」) について述べました。
また、ISO/IEC 27001の構成と適用範囲についても検討しました (図1参照)。
規格本体は、「序文」と10の箇条からなり、そのうち箇条4~10では、情報セキュリティマネジメントシステム (ISMS) の審査/監査可能な要求事項を定めています。これに続いて、ISO/IEC 27001の関連規格であるISO/IEC 27002から抜粋した一連の管理策を含む附属書A (規定) が付属しています。
そして、最後に、読者が興味を持つ他の文献を紹介する参考文献があります。
今回の変更点
2022年4月、27000シリーズの規格の整備を担当するISO/IEC技術小委員会(JTC1/SC27)は、ISO/IEC 27002: 2013 (第2版) をISO/IEC 27002: 2022 (第3版) に更新しました。この改訂では、以下のように2013年版の管理策が大きく変更されました。
- 管理策のカテゴリーを14から4へ削減
- 35の管理目的を削除し、新しい管理階層を作成する
- 2013年版の114の既存の管理策を2022年版では93の管理策に統合する
- 11の新しい管理策を作成する
これら、ISO/IEC 27002 の管理策は、ISO/IEC 27001規格の不可欠な要素でもあるため、ISO/IEC 27001も更新する必要がありました。JTC1/SC27は、2022年版のISO/IEC 27002の一連の管理策を附属書Aに受け入れると同時に、箇条4から箇条10に含まれるISMSの中核となる要求事項に小さな変更を加えました。
2013年版の管理策と2022年版の管理策をマッピングする
以下の表は、27001 の一連の管理策に加えられた変更の大きさを示すものです。A列は、2013年版の114の管理策とその表題を示しています。B列は、2013年版の番号です。C列は2022年の管理策の番号、D列は2022年版の表題が記載されています。
例えば、2013年版では、「5.1.1 情報セキュリティのための方針群 Policies for information security 」と「5.1.2 情報セキュリティのための方針群のレビュー Review of the policies for information security」という2つの管理策を設けています。2022年版では、この2つの管理策は、単一の管理策「5.1 情報セキュリティのための方針群 Policies for information security」に統合されました。
同様に「17.1.1 情報セキュリティ継続の計画 Planning information security continuity」「17.1.2 情報セキュリティ継続の実施 Implementing information security continuity」「17.1.3 情報セキュリティ継続の検証,レビュー及び評価 Verify, review and evaluate information security continuity」は、2022年版では新しい2管理策「5.29 Information security during disruption (混乱時の情報セキュリティ)」に統合されました。
| A 2013年版の管理策表題 | B 2013年版 管理策番号 |
C 2022年版 管理策番号 |
D 2022年版 の管理策表題 |
|---|---|---|---|
| Policies for information security 情報セキュリティのための方針群 |
5.1.1 | 5.1 | Policies for information security 情報セキュリティのための方針群 |
| Review of the policies for information security 情報セキュリティのための方針群のレビュー |
5.1.2 | ||
| Information security roles and responsibilities 情報セキュリティの役割及び責任 |
6.1.1 | 5.2 | Information security roles and responsibilities 情報セキュリティの役割及び責任 |
| Segregation of duties 職務の分離 |
6.1.2 | 5.3 | Segregation of duties 職務の分離 |
| Contact with authorities 関係当局との連絡 |
6.1.3 | 5.5 | Contact with authorities 関係当局との連絡 |
| Contact with special interest groups 専門組織との連絡 |
6.1.4 | 5.6 | Contact with special interest groups 専門組織との連絡 |
| Information security in project management プロジェクトマネジメントにおける情報セキュリティ |
6.1.5 | 5.8 | Information security in project management プロジェクトマネジメントにおける情報セキュリティ (14.1.1も含む) |
| Mobile device policy モバイル機器の方針 |
6.2.1 | 8.1 | User endpoint devices ユーザーエンドポイント機器 (11.2.8も含む) |
| Teleworking テレワーキング |
6.2.2 | 6.7 | Remote working リモートワーク |
| Screening 選考 |
7.1.1 | 6.1 | Screening 選考 |
| Terms and conditions of employment 雇用条件 |
7.1.2 | 6.2 | Terms and conditions of employment 雇用条件 |
| Management responsibilities 経営陣の責任 |
7.2.1 | 5.4 | Management responsibilities 経営陣の責任 |
| Information security awareness, education and training 情報セキュリティの意識向上、教育及び訓練 |
7.2.2 | 6.3 | Information security awareness, education and training 情報セキュリティの意識向上、教育及び訓練 |
| Disciplinary process 懲戒手続 |
7.2.3 | 6.4 | Disciplinary process 懲戒手続 |
| Termination or change of employment responsibilities 雇用の終了又は変更に関する責任 |
7.3.1 | 6.5 | Responsibilities after termination or change of employment 雇用の終了後又は変更後の責任 |
| Inventory of assets 資産目録 |
8.1.1 | 5.9 | Inventory of information and other associated assets 情報及びその他の関連資産の目録 |
| Ownership of assets 資産の管理責任 |
8.1.2 | ||
| Acceptable use of assets 資産利用の許容範囲 |
8.1.3 | 5.10 | Acceptable use of information and other associated assets 情報及び関連する資産の許容範囲 (8.2.3も含む) |
| Return of assets 資産の返却 |
8.1.4 | 5.11 | Return of assets 資産の返却 |
| Classification of information 情報の分類 |
8.2.1 | 5.12 | Classification of information 情報の分類 |
| Labelling of information 情報のラベル付け |
8.2.2 | 5.13 | Labelling of information 情報のラベル付け |
| Handling of assets 資産の取り扱い |
8.2.3 | 5.10 | Acceptable use of information and other associated assets 情報及び関連する資産の許容範囲 (8.1.3も含む) |
| Management of removable media 取外し可能な媒体の管理 |
8.3.1 | 7.10 | Storage media 記録媒体 (11.2.5も含む) |
| Disposal of media 媒体の処分 |
8.3.2 | ||
| Physical media transfer 物理的媒体の輸送 |
8.3.3 | ||
| Access control policy アクセス制御方針 |
9.1.1 | 5.15 | Access control アクセス制御 |
| Access to networks and network services ネットワーク及びネットワークサービスへのアクセス |
9.1.2 | ||
| User registration and de-registration 利用者登録及び登録解除 |
9.21 | 5.16 | Identity management アイデンティティ管理 |
| User access provisioning 利用者アクセスの提供 (provisioning) |
9.2.2 | 5.18 | Access rights アクセス権 (9.2.5と9.2.6も含む) |
| Management of privileged access rights 特権的アクセス権の管理 |
9.2.3 | 8.2 | Privileged access rights 特権的アクセス権 |
| Management of secret authentication information of users 利用者の秘密認証情報の管理 |
9.2.4 | 5.17 | Authentication information 認証情報 (9.3.1と9.4.3も含む) |
| Review of user access rights 利用者アクセス権のレビュー |
9.2.5 | 5.18 | Access rights アクセス権 (9.2.2も含む) |
| Removal or adjustment of access rights アクセス権の削除又は修正 |
9.2.6 | ||
| Use of secret authentication information 秘密認証情報の利用 |
9.3.1 | 5.17 | Authentication information 認証情報 (9.2.4と9.4.3も含む) |
| Information access restriction 情報へのアクセス制限 |
9.4.1 | 8.3 | Information access restriction 情報へのアクセス制限 |
| Secure log-on procedures セキュリティに配慮したログオン手順 |
9.4.2 | 8.5 | Secure authentication セキュリティに配慮した認証 |
| Password management system パスワード管理システム |
9.4.3 | 5.17 | Authentication information 認証情報 (9.2.4と9.3.1も含む) |
| Use of privileged utility programs 特権的なユーティリティプログラムの使用 |
9.4.4 | 8.18 | Use of privileged utility programs 特権的なユーティリティプログラムの使用 |
| Access control to program source code プログラムソースコードへのアクセス制御 |
9.4.5 | 8.4 | Access to source code ソースコードへのアクセス |
| Policy on the use of cryptographic controls 暗号による管理策の利用方針 |
10.1.1 | 8.24 | Use of cryptography 暗号の利用 |
| Key management 鍵管理 |
10.1.2 | ||
| Physical security perimeter 物理的セキュリティ境界 |
11.1.1 | 7.1 | Physical security perimeters 物理的なセキュリティ境界線 |
| Physical entry controls 物理的入退管理策 |
11.1.2 | 7.2 | Physical entry 物理的入退 (11.1.6も含む) |
| Securing offices, rooms and facilities オフィス、部屋及び施設のセキュリティ |
11.1.3 | 7.3 | Securing offices, rooms and facilities オフィス、部屋及び施設のセキュリティ |
| Protecting against external and environmental threats 外部及び環境の脅威からの保護 |
11.1.4 | 7.5 | Protecting against physical and environmental threats 物理的及び環境的な脅威からの保護 |
| Working in secure areas セキュリティを保つべき領域での作業 |
11.1.5 | 7.6 | Working in secure areas セキュリティを保つべき領域での作業 |
| Delivery and loading areas 受渡場所 |
11.1.6 | 7.2 | Physical entry 物理的入退 (11.1.2も含む) |
| Equipment siting and protection 機器の設置及び保護 |
11.2.1 | 7.8 | Equipment siting and protection 機器の設置及び保護 |
| Supporting utilities サポートユーティリティ |
11.2.2 | 7.11 | Supporting utilities サポートユーティリティ |
| Cabling security ケーブル配線のセキュリティ |
11.2.3 | 7.12 | Cabling security ケーブル配線のセキュリティ |
| Equipment maintenance 装置の保守 |
11.2.4 | 7.13 | Equipment maintenance 装置の保守 |
| Removal of assets 資産の移動 |
11.2.5 | 7.10 | Storage media 記録媒体 (8.3.1、8.3.2、8.3.3も含む) |
| Security of equipment and assets off-premises 構外にある機器及び資産のセキュリティ |
11.2.6 | 7.9 | Security of assets off-premises 構外にある資産のセキュリティ |
| Secure disposal or reuse of equipment 装置のセキュリティを保った処分又は再利用 |
11.2.7 | 7.14 | Secure disposal or re-use of equipment 装置のセキュリティを保った処分又は再利用 |
| Unattended user equipment 無人状態にある利用者装置 |
11.2.8 | 8.1 | User endpoint devices ユーザーエンドポイント機器 (6.2.1も含む) |
| Clear desk and clear screen policy クリアデスク・クリアスクリーン方針 |
11.2.9 | 7.7 | Clear desk and clear screen クリアデスク及びクリアスクリーン |
| Documented operating procedures 操作手順書 |
12.1.1 | 5.37 | Documented operating procedures 操作手順書 |
| Change management 変更管理 |
12.1.2 | 8.32 | Change management 変更管理 (14.2.2、14.2.3、14.2.4も含む) |
| Capacity management 容量・能力の管理 |
12.1.3 | 8.6 | Capacity management 容量・能力の管理 |
| Separation of development, testing and operational environments 開発環境、試験環境及び運用環境の分離 |
12.1.4 | 8.31 | Separation of development, test and production environments 開発環境、試験環境及び運用環境の分離 (14.2.6も含む) |
| Controls against malware マルウェアに対する管理策 |
12.2.1 | 8.7 | Protection against malware マルウェアからの保護 |
| Information backup 情報のバックアップ |
12.3.1 | 8.13 | Information backup 情報のバックアップ |
| Event logging イベントログ取得 |
12.4.1 | 8.15 | Logging ログ取得 |
| Protection of log information ログ情報の保護 |
12.4.2 | ||
| Administrator and operator logs 実務管理者及び運用担当者の作業ログ |
12.4.3 | ||
| Clock synchronization クロックの同期 |
12.4.4 | 8.17 | Clock synchronization クロックの同期 |
| nstallation of software on operational systems 運用システムに関わるソフトウェアの導入 |
12.5.1 | 8.19 | Installation of software on operational systems 運用システムに関わるソフトウェアの導入 (12.6.2も含む) |
| Management of technical vulnerabilities 技術的ぜい弱性の管理 |
12.6.1 | 8.8 | Management of technical vulnerabilities 技術的ぜい弱性の管理 (18.2.3も含む) |
| Restrictions on software installation ソフトウェアのインストールの制限 |
12.6.2 | 8.19 | Installation of software on operational systems 運用システムに関わるソフトウェアの導入 (12.5.1も含む) |
| Information systems audit controls 情報システムの監査に対する管理策 |
12.7.1 | 8.34 | Protection of information systems during audit testing 監査試験時の情報システムの保護 |
| Network controls ネットワーク管理策 |
13.1.1 | 8.20 | Networks security ネットワークのセキュリティ |
| Security of network services ネットワークサービスのセキュリティ |
13.1.2 | 8.21 | Security of network services ネットワークサービスのセキュリティ |
| Segregation in networks ネットワークの分離 |
13.1.3 | 8.22 | Segregation of networks ネットワークの分離 |
| Information transfer policies and procedures 情報転送の方針及び手順 |
13.2.1 | 5.14 | Information transfer 情報転送 |
| Agreements on information transfer 情報転送に関する合意 |
13.2.2 | ||
| Electronic messaging 電子的メッセージ通信 |
13.2.3 | ||
| Confidentiality or nondisclosure agreements 秘密保持契約又は守秘義務契約 |
13.2.4 | 6.6 | Confidentiality or non-disclosure agreements 秘密保持契約又は守秘義務契約 |
| Information security requirements analysis and specification 情報セキュリティ要求事項の分析及び仕様化 |
14.1.1 | 5.8 | Information security in project management プロジェクトマネジメントにおける情報セキュリティ (6.1.5も含む) |
| Securing application services on public networks 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮 |
14.1.2 | 8.26 | Application security requirements アプリケーションのセキュリティ要求事項 |
| Protecting application services transactions アプリケーションサービスのトランザクションの保護 |
14.1.3 | ||
| Secure development policy セキュリティに配慮した開発のための方針 |
14.2.1 | 8.25 | Secure development life cycle セキュリティに配慮した開発のライフサイクル |
| System change control procedures システムの変更管理手順 |
14.2.2 | 8.32 | Change management 変更管理 (12.1.2も含む) |
| Technical review of applications after operating platform changes オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー |
14.2.3 | ||
| Restrictions on changes to software packages パッケージソフトウェアの変更に関する制限 |
14.2.4 | ||
| Secure system engineering principles セキュリティに配慮したシステム構築の原則 |
14.2.5 | 8.27 | Secure system architecture and engineering principles セキュリティに配慮したシステムアーキテクチャとエンジニアリングの原則 |
| Secure development environment セキュリティに配慮した開発環境 |
14.2.6 | 8.31 | Separation of development, test and production environments 開発環境、試験環境及び運用環境の分離 (12.1.4も含む) |
| Outsourced development 外部委託による開発 |
14.2.7 | 8.30 | Outsourced development 外部委託による開発 |
| System security testing システムセキュリティの試験 |
14.2.8 | 8.29 | Security testing in development and acceptance 開発及び受入時のセキュリティの試験 |
| System acceptance testing システムの受入れ試験 |
14.2.9 | ||
| Protection of test data 試験データの保護 |
14.3.1 | 8.33 | Test information 試験情報 |
| Information security policy for supplier relationships 供給者関係のための情報セキュリティの方針 |
15.1.1 | 5.19 | Information security in supplier relationships 供給者関係における情報セキュリティ |
| Addressing security within supplier agreements 供給者との合意におけるセキュリティの取り扱い |
15.1.2 | 5.20 | Addressing information security within supplier agreements 供給者との合意における情報セキュリティの取り扱い |
| Information and communication technology supply chain ICT サプライチェーン |
15.1.3 | 5.21 | Managing information security in the ICT supply chain ICTサプライチェーンにおける情報セキュリティの管理 |
| Monitoring and review of supplier services 供給者のサービス提供の監視及びレビュー |
15.2.1 | 5.22 | Monitoring, review and change management of supplier services 供給者のサービス提供の監視、レビュー及び変更管理 |
| Managing changes to supplier services 供給者のサービス提供の変更に対する管理 |
15.2.2 | ||
| Responsibilities and procedures 責任及び手順 |
16.1.1 | 5.24 | Information security incident management planning and preparation 情報セキュリティインシデント管理の計画及び準備 |
| Reporting information security events 情報セキュリティ事象の報告 |
16.1.2 | 6.8 | Information security event reporting 情報セキュリティ事象の報告 |
| Reporting information security weaknesses 情報セキュリティ弱点の報告 |
16.1.3 | ||
| Assessment of and decision on information security events 情報セキュリティ事象の評価及び決定 |
16.1.4 | 5.25 | Assessment and decision on information security events 情報セキュリティ事象の評価及び決定 |
| Response to information security incidents 情報セキュリティインシデントへの対応 |
16.1.5 | 5.26 | Response to information security incidents 情報セキュリティインシデントへの対応 |
| Learning from information security incidents 情報セキュリティインシデントからの学習 |
16.1.6 | 5.27 | Learning from information security incidents 情報セキュリティインシデントからの学習 |
| Collection of evidence 証拠の収集 |
16.1.7 | 5.28 | Collection of evidence 証拠の収集 |
| Planning information security continuity 情報セキュリティ継続の計画 |
17.1.1 | 5.29 | Information security during disruption 障害時の情報セキュリティ |
| Implementing information security continuity 情報セキュリティ継続の実施 |
17.1.2 | ||
| Verify, review and evaluate information security continuity 情報セキュリティ継続の検証、レビュー及び評価 |
17.1.3 | ||
| Availability of information processing facilities 情報処理施設の可用性 |
17.2.1 | 8.14 | Redundancy of information processing facilities 情報処理施設の冗長性 |
| Identification of applicable legislation and contractual requirements 適用法令及び契約上の要求事項の特定 |
18.1.1 | 5.31 | Legal, statutory, regulatory and contractual requirements 法律、法令、規制及び契約上の要求事項 (18.1.5も含む) |
| Intellectual property rights 知的財産権 |
18.1.2 | 5.32 | Intellectual property rights 知的財産権 |
| Protection of records 記録の保護 |
18.1.3 | 5.33 | Protection of records 記録の保護 |
| Privacy and protection of personally identifiable information プライバシー及び個人を特定できる情報 (PII) の保護 |
18.1.4 | 5.34 | Privacy and protection of PII プライバシー及び個人を特定できる情報 (PII) の保護 |
| Regulation of cryptographic controls 暗号化機能に対する規制 |
18.1.5 | 5.31 | Legal, statutory, regulatory and contractual requirements 法律、法令、規制及び契約上の要求事項 (18.1.1も含む) |
| Independent review of information security 情報セキュリティの独立したレビュー |
18.2.1 | 5.35 | Independent review of information security 情報セキュリティの独立したレビュー |
| Compliance with security policies and standards 情報セキュリティのための方針群及び標準の順守 |
18.2.2 | 5.36 8.8 |
Conformance with policies, rules and standards for information security AND Management of technical vulnerabilities 情報セキュリティに関する方針群、規則及び規格への適合性、並びに 技術的ぜい弱性の管理 |
| Technical compliance review 技術的順守のレビュー |
18.2.3 | ||
| 新しい管理策 | |||
| ここからは、2022年版から導入された新しい管理策です | 5.7 | Threat Intelligence 脅威インテリジェンス |
|
| 5.23 | Information security for use of cloud services クラウドサービス利用時の情報セキュリティ |
||
| 5.30 | ICT readiness for business continuity 事業継続のためのICT準備度 |
||
| 7.4 | Physical security monitoring 物理的なセキュリティ監視 |
||
| 8.9 | Configuration management 構成管理 |
||
| 8.10 | Information deletion 情報の削除 |
||
| 8.11 | Data masking データマスキング |
||
| 8.12 | Data leakage prevention データ漏えい防止 |
||
| 8.16 | Monitoring activities 監視活動 |
||
| 8.23 | Web filtering Webフィルタリング |
||
| 8.28 | Secure coding セキュアコーディング |
||
JTC1/SC27 は、既存の 情報セキュリティ管理策を更新するだけでなく、上記で特定した 11 の新しい管理策を追加しました。
箇条4から箇条10に関する修正
規格本体に加えられた変更は非常に小さく、その大部分は附属書SL のAppendix 2を組み入れるためにもたらされたものです。「不適合及び是正処置」は 10.1 から 10.2 に、「継続的改善」は 10.1 に変更となりましたが、各項目の内容に変更はありません。
内部監査 9.2 は「9.2.1 General 一般」「9.2.2 Internal Audit programme 内部監査プログラム」、9.3 マネジメントレビュー は「9.3.1 General 一般」「9.3.2 Management Review Inputs マネジメントレビューへのインプット」「9.3.3 Management Review Outputs マネジメントレビューからのアウトプット」 となります。これもまた構造的な変更であり、新たに対応すべき要求事項はありません。
また、ISMSの変更の計画をカバーする新しい細分箇条 6.3が導入され、箇条4.4では、組織がISMSの設計と運用にプロセスアプローチを採用することをより明確に求めており、ISMSの目標達成に向けた進捗を監視することが要求されています。
変更の意味するところ
実務者
ISO/IEC 27001の認証を取得している組織への影響の1つは、適用宣言書の再検討を迫られることであることは明らかです。適用宣言書とは、各組織がISO/IEC 27001 の附属書Aのどの管理策を採用しているかを特定し、かつ、採用していない管理策の除外を正当化するために作成しなければならない必須の文書化した情報です。2013年の一連の管理策が大幅に更新されるため、管理策の番号を変更し、表題を更新することさえ時間がかかります。
しかし、これはあくまでもプロセスの一部に過ぎないことを忘れてはなりません。管理策の表題が「そのまま」引き継がれる場合でも、管理策の性質を詳述するテキストが更新され、サポートするISMS文書、プロセス、手順の変更が必要となる場合があります。このため、既存の管理策のそれぞれについて、順守するために、これまでと異なるやり方をする必要があるかどうかを確認する必要があります。
そして、対応が必要な新たな管理策があります。新たな管理策についても、日々の業務に組み込んで、適合の証拠を得るために、現在の作業体制を変更する必要がある場合もあります。
規格本体の要求事項の変更により、新しい附属書SLの Appendix 2 に基づく構造を反映させるために、内部文書の番号の付け直しが必要になる場合があります。また、第三者審査員が再認証審査に来た際に、追加の箇条6.3を証明する必要があります。
また、監査については、新しい2022年版の管理策が効果的に機能していることを確認するために、内部監査プログラムの変更が必要になる場合があります。
審査員/監査員
ISMSの第一者監査、第二者監査、または第三者審査を提供する人々にも影響があります。ISO 17021-1とISO 19011は、審査員/監査員が審査/監査を実施する能力を有していなければならないと述べています。
つまり、審査員/監査員は知識、スキル、経験を持ち、それらを応用して意図した結果を出す能力が必要なのです。この場合、意図した結果は、ISO/IEC 27001:2022に基づくISMSを客観的に評価することです。
今回の改訂で、審査/監査実施の基本は変わりませんが、新たに11の管理策に関連する技術的な要求事項が追加されました。審査員/監査員によっては、適合性の有無を判断するために、さらなる知識の習得が必要な場合もあります。
審査員登録の移行について
CQI IRCA は、すべての ISMS 審査員に 2025 年 10 月 31 日までに専門能力開発活動を完了し、ISO/IEC 27001:2022 に関する知識、理解、および技能を最新のものにすることを要求しています。
審査員は、トレーニングコースへの参加、または他のCPD活動を通じて知識、理解、スキルを更新することを選択することができます。 このような活動は、審査員の CPD 記録に記録されなければならず、審査員は、この規格に対 して審査する能力があることを確認する宣言書に記入し、提出しなければなりません。
認証組織の移行-慌てる必要はありませんが…
国際認定機関フォーラム (IAF) は、ISO/IEC 27001:2013の認定を受けた組織に対して、2022年版の発行月の末日から3年間の移行期間を設けることに合意しました。ISOのウェブサイトによると、発行日は2022年10月ですから、組織は2025年10月31日までに移行する必要がありますが、まだ時間はあります。
しかし、認証機関は締め切り直前になると非常に忙しくなるため、ギリギリまで待たないことが重要です。今すぐ計画を開始し、利用可能な時間を使って、スムーズで統制の取れた移行を行いましょう。
