2022年10月28日
ISMSの附属書Aとは、情報セキュリティ上のリスクを低減するための目的と、その目的を達成するための管理策で構成されます。ISMSの附属書Aの内容を抑えることが、セキュリティ規程を作成するコツになります。
1.附属書Aとは
⑴附属書Aの概要
情報セキュリティ上のリスクを低減するための目的と、その目的を達成するための管理策で構成されます。
簡単に言うと、「情報セキュリティを守るために、●●の場合は●●をしましょう!」
といったようなセキュリティ対策ガイドラインのようなものです。
⑵附属書Aの役割
ISMS(ISO27001)の本文「6.1.3 情報セキュリティリスク対応」には以下の記述があります。
―――
注記1附属書Aは、管理目的及び管理策の包括的なリストである。この規格の利用者は、必要な管理策の見落としがないことを確実にするために、附属書Aを参照することが求められている。
―――
このように、あくまで附属書Aは、ISMS(ISO27001)の本文(規格要求事項)を補完するような位置づけになります。
また、”必要な管理策の”とあるように、ISMSの規格要求事項が「必ず実施すべきもの」であるのに対し、
附属書Aは、組織のリスクアセスメントの結果に基づいて、「実施すべきもの」と「実施しなくてよいもの」に分類することができます。
2.ISO/IEC 27001とISO/IEC 27002について
⑴ISO/IEC 27001
ISO/IEC 27001とは、ISMSの要求事項を定めた規格のことを指します。
「ISO27001」と省略して言われることが多いですが、
「ISO/IEC 27001」が正式名称です。
「ISO/IEC」は、ISOとIECの2つの組織が共同で開発した規格であることを指します。
ISO(国際標準化機構)は、電子・電気を除く分野で
国際的な標準である国際規格を策定している組織です。
一方で、IEC(国際電気標準会議)は電気・電子の関する分野で
国際的な標準である国際規格を策定している組織です。
情報技術など一部のIT分野は、この2つの組織が共同して規格を開発しています。
⑵ISO/IEC 27002
ISO/IEC 27002には、ISO/IEC 27001 附属書Aの管理策についての解説や具体例が記載されています。
ISO/IEC 27002は、附属書Aの管理策を運用する上で欠かせない規格となるため
ISO/IEC 27001のガイダンス規格とも言われます。
⑶「管理策」とは
管理策とは、情報セキュリティ上のリスクを低減するためのガイドラインのことです。
現在(ISO/IEC 27001:2013)の管理策は全部で114項目ありますが、
2022年12月末までに規格改訂され、93項目に減ることが分かっています。
3.ISO/IEC 27001 附属書Aと27002の違い
ISO/IEC 27001 附属書Aには、情報セキュリティ上のリスクを低減する管理目的と、それを達成するための管理策しか記載されていません。したがって、実際にどう運用していけばよいのかが非常に分かりにくいです。
そこで、ISO/IEC 27002では、その管理目的と管理策に加えて実施の手引きと関連情報が記載されています。
要するに、ISO/IEC 27002はISO/IEC 27001の参考資料でありガイドラインだと言えます。
4.附属書Aの管理策構成
前述した通り、附属書Aの管理策は2022年12月末までに規格改訂(内容変更)があるため、既に改訂が完了しているISO/IEC 27002に基づき、新しい管理策の構成について見ていきましょう。
新しい管理策の構成は、4つの管理策カテゴリに簡略化されています。
合計 93個
①組織的管理策 40個
②人的管理策 8個
③物理的管理策 15個
④技術的管理策 41個
管理策の総数も114から93個に減っていますが実質的に削除された項目はなく、
IT技術の進歩や時代背景に合わせて管理策の統合や削除が行われています。
5.附属書Aが実施できない場合
そもそも93個ある管理策を全て実施する必要はありません。
これらの管理策はあらゆる情報セキュリティ上のリスクを考慮して作成されているため
業務内容によっては全く関係のないような内容も含まれています。
例えば、システム開発を行う上での管理策はシステム開発を行わない企業にとっては全く関係のない話になります。
このような管理策は業務上必要がないため、その管理策の適用を除外することができます。
ただ闇雲に「やりたくないからやらない」というような理由ではダメですが
「システム開発を行っていないため」等、明確な理由がある場合のみ適用除外にすることが出来ます。
6.セキュリティ管理規程を作る3つのコツ
セキュリティ管理規程は附属書Aの内容を活用することでより効果的な内容になるでしょう。
以下の3つの手順で作成してみてください。
① まずは附属書Aの管理策を適用する必要があるのかを
組織のリスクアセスメントに基づきチェックし、まとめる
② ISO/IEC 27002に記載されている実施の手引き、関連情報を基に
組織でどのように管理策の内容を運用していくのかを考える
③ ①と②をまとめたものをセキュリティ管理規程とする
もちろん、作りっぱなしで終わることなく実際に運用しながら改善していくことも大切です。
まずは手軽に取り組めるようなルールで土台を作り運用していく中で、必要な対策があれば随時アップデートしていくと良いでしょう。
まとめ
ISMSの附属書Aとは、情報セキュリティ上のリスクを低減するための目的と、その目的を達成するための管理策で構成されます。
附属書Aの管理策を自社のセキュリティ管理規程に落とし込むことでより効果的なルール作りができます。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ