1.移行期限
2022年版への移行は、2025年9月30日までに完了させなければなりません。
指摘箇所の対応を考慮すると、2025年7月31日までに移行審査を受けることをお勧めします。
2.移行手順
移行手順は、大きく次のステップになります。
①移行審査の日程を決める
②ギャップ分析
③ISMS文書、適用宣言書の改訂
④社内教育、2022年版運用開始
⑤内部監査、マネジメントレビュー
各ステップの説明をします。
①移行審査の日程を決める
サーベイランスまたは定期審査のタイミングに合わせて移行審査を受けるのが一般的です。
サーベイランスに合わせる場合は1工数、更新審査に合わせる場合は0.5工数が追加されます。
(審査機関、組織の規模によって異なるため詳細は審査機関に確認してください)
移行審査を機会に、審査日程の前倒しを検討することも可能です。
②ギャップ分析
要求事項の箇条4~10及び管理策の移行対応が求められます。
要求事項の変更は表現の違いぐらいなので気にしなくても問題ないです。
管理策は項番の変更、管理策の統合などややこしいので、混乱しないように対処します。
少なくとも、新規に追加された11の管理策については対応が必須です。
③ISMS文書、適用宣言書の改訂
ISMSマニュアルや適用宣言書を改訂します。
せっかく改訂するのですから、単なる移行対応ではなく、従来のISMSの運用を考慮し、
有効なISMSにするために、ISMS全体の見直しをお勧めします。
④社内教育、2022年版運用開始
最新版のISMS文書の教育をし、運用を開始します。
必要に応じてISMS目的などの見直しもします。
⑤内部監査、マネジメントレビュー
移行審査に先駆け、内部監査、マネジメントレビューを行います。
※メルマガで配信したコラムを修正・加筆したものです