2022年11月28日
ISMSの管理策とは、企業として「このくらいのセキュリティ対策を取る必要があります」と示しているもので、114項目あります。ISMSの管理策は、要求事項とは違い、企業で採否が可能です。ただし、適用しないものには理由付けが必要です。
1.ISMSで必要な管理策とは
ISMS(ISO27001)で必要な管理策とは「付属書A」に記載されており、全部で114にのぼります。
様々な状況や側面から、企業として、このくらいのセキュリティ対策を取る必要がありますよと示してくれているものです。
業務内容やISMSの認証範囲によっては、管理策全てが当てはまらないケースもあり、
・どの管理策が適用されるのか
・適用しないのか
理由を含めて明示しておかなければなりません。
2.ISMSの「要求事項」と「管理策」の違い
ISMS(ISO27001)の「要求事項」と「管理策」の違いは、
・必ず対応しないといけないものか
・企業によって採否が可能か
といった点にあります。
「要求事項」とは、その規格で求められている基本要件のことです。ISMSにおいては、10項目の要求事項が定められています。要求事項については、ISMS認証を受けている全ての企業が対応しないといけないものとなります。
一方、「管理策」とは「付属書A」にある項目のことで、全項目を合わせると114にのぼります。業務内容やISMSの適用範囲によっては管理策全てが当てはまらない場合もあり、どの管理策が適用されるのか、適用されないのか、理由を含めて明示しておかなければなりません。企業によっては採用出来ないケースがあるため、理由を明確にし採用しないという選択をすることが出来ます。
3.ISO27001とは
ISO27001とは、情報セキュリティマネジメントシステムの規格のことを示します。
10項目の要求事項と114項目のセキュリティ管理策から構成されています。
ISO27001の同義語として使われることが多いのがISMSです。
厳密には、ISO27001は規格のことを示し、ISMSは企業・組織の情報を守るためのシステム・仕組みのことを示します。
ISMSとは、国際規格であるISOが定めている情報セキュリティマネジメントシステム(Information Security Management System)のことで、頭文字をとり呼びやすくしたものです。
4.ISO27002とは
ISO27002とは、「情報技術-セキュリティ技術-情報セキュリティ管理策の実践のための規範」が正式名称です。
注意点としてISO 27002はISO27001とは違い、マネジメント規格ではないので、認証を受けることはできません。
あくまで、ISO27001のセキュリティ管理策を実施するためにある手引書という立ち位置です。
5.ISO27001附属書AとISO27002の関係性
ISO27002は、ISO27001の付属書Aに記載されているセキュリティ管理策についての詳細が書かれたものです。
ISO27002を参考にしながら、ISO27001の付属書Aの管理策のうちどの項目が必要かを選定し、実施していくことになります。
そのため、ISO27002はISO27001の手引書だと思ってください。
6.ISO/IEC 27002の管理策の構成
ISO27002の構成としては、14の箇条で、35のカテゴリ、114の管理策からなります。
各箇条の順序は重要度を示すものではありません。114の管理策を各企業の状況に応じて、必要なセキュリティ管理策を選定し、適用していくことを明確にすることが望ましいとされています。
これを明確にするため(ISMSの必須書類の1つでもある)「適用宣言書」というものを作成します。
7.管理策をまとめた適用宣言書とは
適用宣言書とは、それぞれの企業が、114のセキュリティ管理策のうち、どのセキュリティ管理策を選択しているのかを明確にしたものです。
セキュリティ管理策の横に「適用なのか?」「管理策を含めた理由」などを記載した一覧表だと思ってください。
ISO27001の審査では、この適用宣言書を審査員に確認してもらい、選択したセキュリティ管理策が妥当かどうかを審査してもらいます。
8.どのように管理策を決めればよい?
基本的には、取り組めるものは全て採用し、適用していく必要があります。
どうしても、業務内容や組織状況等からそのセキュリティ管理策を実施することが出来ない場合は不採用にすることも可能です。
例えば、「A.6.2.2 テレワーキング」という項目がありますが、
そもそも業務内容として、自社以外の外部では業務を行うことが出来ず、自社でないと情報にアクセスが出来ない環境であれば、外部で作業を実施することがないため、不採用とします。もちろん、適用宣言書には、なぜ不採用なのかの理由を記載しなければならないので、審査員が納得出来る内容の理由が記載されている必要があります。
9.管理策の実例紹介
「A.6.2.2 テレワーキング」では、外部での作業を実施している場合、セキュリティ対策を実施しなければならないとされています。
『うちの会社は自宅でのテレワークはしてないから不採用かな?』と思われる方が多いですが、間違いです。
自宅でのテレワークをしていなくても、スマートフォンや PCなどで、会社にいなくとも情報にアクセスができる環境であれば、適用する必要があります。
審査でも引っかかるポイントなので、注意してください。
10.実は「付属書A」はためになることがたくさん書かれている
セキュリティに関する細かい内容が114項目もあり、かなりとっつきにくいイメージを持たれる方も多いです。しかし、付属書Aには、仕事でためになることがたくさん書かれています。
情報資産を洗い出し、リスクアセスメントなどの活動を通してマネジメントシステムを回していきますが、セキュリティ管理策には、運用のヒントが書かれています。さらに要求事項は情報セキュリティに関するものだけではなく、仕事や組織運営を良くする内容を含んでいますので、現状の課題解決の手助けになるかもしれません。
まとめ
付属書Aのセキュリティ管理策は全部で114あり、自社で選択をしていく必要があります。
ISO27002と言う規格は、ISO27001のセキュリティ管理策を選択するために参考とする手引書のイメージで、セキュリティ管理策の詳細が記載されています。
付属書Aにはセキュリティに関するものだけでなく仕事でもためになることがたくさん書かれています。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ