ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS附属書Aの役割とは?セキュリティ規程を作る3つのコツ

2022年10月28日

ISMS附属書Aの役割とは?セキュリティ規程を作る3つのコツ

ISMSの附属書Aとは、情報セキュリティ上のリスクを低減するための目的と、その目的を達成するための管理策で構成されます。ISMSの附属書Aの内容を抑えることが、セキュリティ規程を作成するコツになります。

1.附属書Aとは

 

⑴附属書Aの概要

情報セキュリティ上のリスクを低減するための目的と、その目的を達成するための管理策で構成されます。

簡単に言うと、「情報セキュリティを守るために、●●の場合は●●をしましょう!」
といったようなセキュリティ対策ガイドラインのようなものです。

 

⑵附属書Aの役割

ISMS(ISO27001)の本文「6.1.3 情報セキュリティリスク対応」には以下の記述があります。
―――
注記1 

附属書Aは、管理目的及び管理策の包括的なリストである。この規格の利用者は、必要な管理策の見落としがないことを確実にするために、附属書Aを参照することが求められている。
―――
このように、あくまで附属書Aは、ISMS(ISO27001)の本文(規格要求事項)を補完するような位置づけになります。

また、”必要な管理策の”とあるように、ISMSの規格要求事項が「必ず実施すべきもの」であるのに対し、
附属書Aは、組織のリスクアセスメントの結果に基づいて、「実施すべきもの」と「実施しなくてよいもの」に分類することができます。

2.ISO/IEC 27001とISO/IEC 27002について

 

⑴ISO/IEC 27001

ISO/IEC 27001とは、ISMSの要求事項を定めた規格のことを指します。
「ISO27001」と省略して言われることが多いですが、
「ISO/IEC 27001」が正式名称です。

「ISO/IEC」は、ISOとIECの2つの組織が共同で開発した規格であることを指します。

ISO(国際標準化機構)は、電子・電気を除く分野で
国際的な標準である国際規格を策定している組織です。

一方で、IEC(国際電気標準会議)は電気・電子の関する分野で
国際的な標準である国際規格を策定している組織です。

情報技術など一部のIT分野は、この2つの組織が共同して規格を開発しています。

 

⑵ISO/IEC 27002

ISO/IEC 27002には、ISO/IEC 27001 附属書Aの管理策についての解説や具体例が記載されています。

ISO/IEC 27002は、附属書Aの管理策を運用する上で欠かせない規格となるため
ISO/IEC 27001のガイダンス規格とも言われます。

 

⑶「管理策」とは

管理策とは、情報セキュリティ上のリスクを低減するためのガイドラインのことです。
現在(ISO/IEC 27001:2013)の管理策は全部で114項目ありますが、
2022年12月末までに規格改訂され、93項目に減ることが分かっています。

 

3.ISO/IEC 27001 附属書Aと27002の違い

ISO/IEC 27001 附属書Aには、情報セキュリティ上のリスクを低減する管理目的と、それを達成するための管理策しか記載されていません。したがって、実際にどう運用していけばよいのかが非常に分かりにくいです。

そこで、ISO/IEC 27002では、その管理目的と管理策に加えて実施の手引きと関連情報が記載されています。
要するに、ISO/IEC 27002はISO/IEC 27001の参考資料でありガイドラインだと言えます。

 

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

4.附属書Aの管理策構成

前述した通り、附属書Aの管理策は2022年12月末までに規格改訂(内容変更)があるため、既に改訂が完了しているISO/IEC 27002に基づき、新しい管理策の構成について見ていきましょう。
新しい管理策の構成は、4つの管理策カテゴリに簡略化されています。

合計 93個
①組織的管理策 40個
②人的管理策 8個
③物理的管理策 15個
④技術的管理策 41個

管理策の総数も114から93個に減っていますが実質的に削除された項目はなく、
IT技術の進歩や時代背景に合わせて管理策の統合や削除が行われています。

 

5.附属書Aが実施できない場合

そもそも93個ある管理策を全て実施する必要はありません。
これらの管理策はあらゆる情報セキュリティ上のリスクを考慮して作成されているため
業務内容によっては全く関係のないような内容も含まれています。

例えば、システム開発を行う上での管理策はシステム開発を行わない企業にとっては全く関係のない話になります。
このような管理策は業務上必要がないため、その管理策の適用を除外することができます。

ただ闇雲に「やりたくないからやらない」というような理由ではダメですが
「システム開発を行っていないため」等、明確な理由がある場合のみ適用除外にすることが出来ます。

 

6.セキュリティ管理規程を作る3つのコツ

セキュリティ管理規程は附属書Aの内容を活用することでより効果的な内容になるでしょう。
以下の3つの手順で作成してみてください。

 

① まずは附属書Aの管理策を適用する必要があるのかを
組織のリスクアセスメントに基づきチェックし、まとめる

② ISO/IEC 27002に記載されている実施の手引き、関連情報を基に
組織でどのように管理策の内容を運用していくのかを考える

③ ①と②をまとめたものをセキュリティ管理規程とする

 

もちろん、作りっぱなしで終わることなく実際に運用しながら改善していくことも大切です。
まずは手軽に取り組めるようなルールで土台を作り運用していく中で、必要な対策があれば随時アップデートしていくと良いでしょう。

まとめ

ISMSの附属書Aとは、情報セキュリティ上のリスクを低減するための目的と、その目的を達成するための管理策で構成されます。
附属書Aの管理策を自社のセキュリティ管理規程に落とし込むことでより効果的なルール作りができます。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。