ISMSで必要な管理策とは？要求事項とは違う？【実例紹介】

HOME

ISMS

コラム一覧

基本の知識

ISMSで必要な管理策とは？要求事項とは違う？【実例紹介】

2022年11月28日

ISMSの管理策とは、企業として「このくらいのセキュリティ対策を取る必要があります」と示しているもので、114項目あります。ISMSの管理策は、要求事項とは違い、企業で採否が可能です。ただし、適用しないものには理由付けが必要です。

１．ISMSで必要な管理策とは
２．ISMSの「要求事項」と「管理策」の違い
３．ISO27001とは
４．ISO27002とは
５．ISO27001附属書AとISO27002の関係性
６．ISO/IEC 27002の管理策の構成
７．管理策をまとめた適用宣言書とは
８．どのように管理策を決めればよい？
９．管理策の実例紹介
10．実は「付属書A」はためになることがたくさん書かれている
まとめ

１．ISMSで必要な管理策とは

ISMS（ISO27001）で必要な管理策とは「付属書A」に記載されており、全部で114にのぼります。

様々な状況や側面から、企業として、このくらいのセキュリティ対策を取る必要がありますよと示してくれているものです。

業務内容やISMSの認証範囲によっては、管理策全てが当てはまらないケースもあり、

・どの管理策が適用されるのか

・適用しないのか

理由を含めて明示しておかなければなりません。

２．ISMSの「要求事項」と「管理策」の違い

ISMS（ISO27001）の「要求事項」と「管理策」の違いは、

・必ず対応しないといけないものか

・企業によって採否が可能か

といった点にあります。

「要求事項」とは、その規格で求められている基本要件のことです。ISMSにおいては、10項目の要求事項が定められています。要求事項については、ISMS認証を受けている全ての企業が対応しないといけないものとなります。

一方、「管理策」とは「付属書A」にある項目のことで、全項目を合わせると114にのぼります。業務内容やISMSの適用範囲によっては管理策全てが当てはまらない場合もあり、どの管理策が適用されるのか、適用されないのか、理由を含めて明示しておかなければなりません。企業によっては採用出来ないケースがあるため、理由を明確にし採用しないという選択をすることが出来ます。

３．ISO27001とは

ISO27001とは、情報セキュリティマネジメントシステムの規格のことを示します。

10項目の要求事項と114項目のセキュリティ管理策から構成されています。

ISO27001の同義語として使われることが多いのがISMSです。

厳密には、ISO27001は規格のことを示し、ISMSは企業・組織の情報を守るためのシステム・仕組みのことを示します。

ISMSとは、国際規格であるISOが定めている情報セキュリティマネジメントシステム（Information Security Management System）のことで、頭文字をとり呼びやすくしたものです。

４．ISO27002とは

ISO27002とは、「情報技術－セキュリティ技術－情報セキュリティ管理策の実践のための規範」が正式名称です。

注意点としてISO 27002はISO27001とは違い、マネジメント規格ではないので、認証を受けることはできません。

あくまで、ISO27001のセキュリティ管理策を実施するためにある手引書という立ち位置です。

５．ISO27001附属書AとISO27002の関係性

ISO27002は、ISO27001の付属書Aに記載されているセキュリティ管理策についての詳細が書かれたものです。

ISO27002を参考にしながら、ISO27001の付属書Aの管理策のうちどの項目が必要かを選定し、実施していくことになります。

そのため、ISO27002はISO27001の手引書だと思ってください。

６．ISO/IEC 27002の管理策の構成

ISO27002の構成としては、14の箇条で、35のカテゴリ、114の管理策からなります。

各箇条の順序は重要度を示すものではありません。114の管理策を各企業の状況に応じて、必要なセキュリティ管理策を選定し、適用していくことを明確にすることが望ましいとされています。

これを明確にするため（ISMSの必須書類の１つでもある）「適用宣言書」というものを作成します。

７．管理策をまとめた適用宣言書とは

適用宣言書とは、それぞれの企業が、114のセキュリティ管理策のうち、どのセキュリティ管理策を選択しているのかを明確にしたものです。

セキュリティ管理策の横に「適用なのか？」「管理策を含めた理由」などを記載した一覧表だと思ってください。

ISO27001の審査では、この適用宣言書を審査員に確認してもらい、選択したセキュリティ管理策が妥当かどうかを審査してもらいます。

８．どのように管理策を決めればよい？

基本的には、取り組めるものは全て採用し、適用していく必要があります。

どうしても、業務内容や組織状況等からそのセキュリティ管理策を実施することが出来ない場合は不採用にすることも可能です。

例えば、「A.6.2.2 テレワーキング」という項目がありますが、

そもそも業務内容として、自社以外の外部では業務を行うことが出来ず、自社でないと情報にアクセスが出来ない環境であれば、外部で作業を実施することがないため、不採用とします。もちろん、適用宣言書には、なぜ不採用なのかの理由を記載しなければならないので、審査員が納得出来る内容の理由が記載されている必要があります。

プロのコンサルタントがお悩みをお伺いします!

９．管理策の実例紹介

「A.6.2.2 テレワーキング」では、外部での作業を実施している場合、セキュリティ対策を実施しなければならないとされています。

『うちの会社は自宅でのテレワークはしてないから不採用かな？』と思われる方が多いですが、間違いです。

自宅でのテレワークをしていなくても、スマートフォンや PCなどで、会社にいなくとも情報にアクセスができる環境であれば、適用する必要があります。

審査でも引っかかるポイントなので、注意してください。

10．実は「付属書A」はためになることがたくさん書かれている

セキュリティに関する細かい内容が114項目もあり、かなりとっつきにくいイメージを持たれる方も多いです。しかし、付属書Aには、仕事でためになることがたくさん書かれています。

情報資産を洗い出し、リスクアセスメントなどの活動を通してマネジメントシステムを回していきますが、セキュリティ管理策には、運用のヒントが書かれています。さらに要求事項は情報セキュリティに関するものだけではなく、仕事や組織運営を良くする内容を含んでいますので、現状の課題解決の手助けになるかもしれません。

まとめ

付属書Aのセキュリティ管理策は全部で114あり、自社で選択をしていく必要があります。

ISO27002と言う規格は、ISO27001のセキュリティ管理策を選択するために参考とする手引書のイメージで、セキュリティ管理策の詳細が記載されています。

付属書Aにはセキュリティに関するものだけでなく仕事でもためになることがたくさん書かれています。

ISO・Pマーク認証更新でお悩みの方へ

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

＼SNSでシェアしてね／