ISMSを構築する際には、ISO/IEC 27001の附属書Aに記載された管理策のうち、どの管理策を適用するのか、不採用とするのかを決めることができます。ISMSの管理策を正しく適用することで、効率的にセキュリティを強化し、企業の信頼性を高めることが可能です。
本記事では、ISMSの管理策や要求事項との違い、決定方法を解説します。
1. ISMSにおける管理策とは?
ISMSにおける管理策とは、ISO/IEC 27001の附属書Aに記載された、組織の情報資産を保護するために策定される具体的な対策や手段です。第二版であるISO/IEC 27001:2013には114項目の管理策が、最新版であるISO/IEC 27001:2022には93項目の管理策が記載されています。
【関連記事】
ISMS規格「ISO/IEC 27001(JIS Q 27001)」の改訂内容と対応期限
管理策は、情報漏えいや不正アクセス、データの破壊といったリスクを軽減し、組織の信頼性を確保するために必要不可欠です。管理策を適切に実施することで、組織は情報セキュリティの向上を図り、法令遵守やビジネスの継続性を確保することができます。
一方、ISO/IEC 27001の附属書Aに記載されている管理策の項目すべてを適用する必要はありません。自社の業務内容に合わせ、どの管理策を適用するか不採用とするかを自社で決めることが可能です。
2. ISMSの管理策の具体例
最新版であるISO/IEC 27001:2022の附属書Aに記載されている管理策のカテゴリーと項目数は以下の通りです。
- 5.Oraganisational controls(組織的管理策)(37)
- 6.People controls(人的管理策)(8)
- 7.Physical controls(物理的管理策)(14)
- 8.Technical controls(技術的管理策)(34)
ISO/IEC27001:2013の附属書Aに記載されている管理策のカテゴリーと項目数は以下の通りです。
- 5.情報セキュリティのための方針群(2)
- 6.情報セキュリティのための組織(7)
- 7.人的資源のセキュリティ(6)
- 8.資産の管理(10)
- 9.アクセス制御(14)
- 10.暗号(2)
- 11.物理的及び環境的セキュリティ(15)
- 12.運用のセキュリティ(14)
- 13.通信のセキュリティ(7)
- 14.システムの取得、開発及び保守(13)
- 15供給者関係(5)
- 16.情報セキュリティインシデント管理(7)
- 17.事業継続マネジメントにおける情報セキュリティの側面(4)
- 18.順守(8)
ISO/IEC 27001の最新改訂では管理策に対する大幅な変更が行われ、既存の管理策のうち58が更新され、24が統合、11の新しい管理策が導入されたことで、管理策の数が114から93に削減されました。また、管理策のカテゴリーが14分類から4分類に変更されています。
最新版のISO/IEC27002:2022では、11個の管理策が追加されました。
5.Organisational controls(組織的管理策) |
5.7:脅威インテリジェンス 5.23:クラウドサービス利用における情報セキュリティ 5.30:事業継続のためのICTの備え |
7.Physical controls(物理的管理策) |
7.4:物理的セキュリティの監視 |
8.Technical controls(技術的管理策) |
8.9:構成管理 8.10:情報の削除 8.11:データマスキング 8.12:データ漏えい防止 8.16:監視活動 8.23:ウェブ・フィルタリング 8.28:セキュリティに配慮したコーディング |
■ 組織的管理策
ISO/IEC 27001:2022の管理策のカテゴリーの組織的管理策には、37項目の管理策が記載されています。
主な管理策は以下の通りです。
- A.5.1:情報セキュリティのための方針群
- A.5.2:情報セキュリティの役割及び責任
- A.5.3:職務の分離
- A.5.4:経営陣の責任
■ 人的管理策
ISO/IEC 27001:2022の管理策のカテゴリーの人的管理策には、8項目の管理策が記載されています。
主な管理策は以下の通りです。
- A.6.1:選考
- A.6.2:雇用条件
- A.6.3:情報セキュリティの意識向上、教育及び訓練
- A.6.4:懲戒手続
■ 物理的管理策
ISO/IEC 27001:2022の管理策のカテゴリーの物理的管理策には、14項目の管理策が記載されています。
主な管理策は以下の通りです。
- A.7.1:物理的セキュリティ境界
- A.7.2:物理的入退
- A.7.3:オフィス、部屋及び施設のセキュリティ
- A.7.5:物理的及び環境的脅威からの保護
■ 技術的管理策
ISO/IEC 27001:2022の管理策のカテゴリーの技術的管理策には、34項目の管理策が記載されています。
主な管理策は以下の通りです。
- A.8.1:利用者エンドポイント機器
- A.8.2:特権的アクセス権
- A.8.3:情報へのアクセス制限
- A.8.4:ソースコードへのアクセス
3. ISMSの管理策の基本的な役割
ISMSの管理策の基本的な役割は、組織の情報資産を保護し、情報セキュリティのリスクを適切に管理することにあります。情報漏えいや不正アクセスといったセキュリティインシデントを未然に防ぐことで、情報セキュリティの3要素である「機密性」「完全性」「可用性」を確保し、ビジネスの継続性を維持することが可能です。
管理策には、技術的な対策だけでなく、組織的なプロセスや人的な要素も含まれています。例えば、アクセス制御や暗号化技術の導入、セキュリティポリシーの策定、従業員へのセキュリティ教育などが挙げられます。
管理策の導入により、外部からの脅威だけでなく内部からのリスクにも対応できるようになり、情報セキュリティや顧客・取引先からの信頼性を向上させることが可能です。
■ 管理策と要求事項の違い
要求事項とは、ISMSの国際規格 ISO/IEC 27001で定められた、組織が情報セキュリティを確保するために満たすべき基本的な基準です。一方、管理策は、これらの要求事項を具体的に実施するための手段や方法を指します。つまり、要求事項が「何をすべきか」を示すのに対し、管理策は「どのようにそれを実現するか」を示しているわけです。
例えば、要求事項として「情報の機密性を保護すること」が求められた場合、管理策としては「アクセス制御を強化する」「データ暗号化を実施する」といった具体的な手段が考えられます。
■ ISMS適用宣言書とは
ISMS適用宣言書とは、どの管理策を採用し、どのように適用するかを公式に宣言する文書です。ISO27001の要求事項に基づき、選定した管理策を明確にし、適用の範囲を示します。適用宣言書を作成することで、情報セキュリティに関する方針や目標を具体的に示すことが可能です。
ISMS適用宣言書を作成する際には、組織のリスク評価結果をもとに、適用すべき管理策を選定します。リスク評価に基づく管理策の選定は、組織が直面する特定の脅威や脆弱性に対処するために不可欠です。また、適用宣言書は定期的に見直し、組織の変化や新たなリスクに対応するために更新する必要があります。
4. ISO27001とISO27002の関係
ISO27001はISMSの要件を定めた国際規格であり、組織が情報セキュリティを効果的に管理するための枠組みを提供します。一方、ISO27002は、ISO27001で求められる管理策を具体的に実施するためのガイドラインを提供する役割を持っています。
■ ISO27001の概要
ISO27001は、ISMSの国際標準規格です。情報セキュリティを体系的かつ継続的に管理するためのフレームワークを提供します。この規格の特徴は、リスク管理を中心に据え、組織の規模や業種にかかわらず適用可能である点です。
■ ISO27002の概要
ISO27002は、情報セキュリティ管理のための具体的な管理策を提供するガイドラインです。ISO27001がISMSの要求事項を定義しているのに対し、ISO27002はその実施に役立つ具体的な指針を示します。
■ 附属書AとISO27002の関係
附属書Aとは、ISO27001の中で情報セキュリティ管理策を具体的に示した部分です。
附属書Aには情報セキュリティの管理策が14のカテゴリに分かれて記載されており、それぞれが特定のセキュリティリスクや脅威に対応するための具体的な手法を提供しています。
一方、ISO27002は、附属書Aで示された管理策をどのように具体的に実施するかを詳細に解説しています。
例えば、附属書Aでは「A.8.3:情報へのアクセス制限」という管理策が示されていますが、ISO27002ではそのアクセス制限をどのように設定し、運用するかを具体的に説明しています。
5. ISMSの管理策の決定方法
ISMSの構築において、適切な管理策を選定することで、組織の情報資産を脅威から守り、セキュリティの向上を図ることができます。しかし、どの管理策を選ぶべきかは組織の特性やリスクに応じて異なるため、慎重な検討が必要です。
■ リスクアセスメントの実施
ISMS管理策を選定する際には、リスクアセスメントを実施し、組織が直面する可能性のある情報セキュリティ上の脅威や脆弱性を洗い出します。このステップは、どの管理策が必要かを判断するための基礎となります。
■ 管理策の選定
次に、これらのリスクを軽減するための具体的な管理策を選定します。ここでは、ISO27001やISO27002のガイドラインを参考にしながら、アクセス制御や暗号化、セキュリティ教育など、組織の特性や業務内容に応じた管理策を選びます。
■ 適用宣言書の作成
適用宣言書は、ISMSの管理策を決定する際の重要な文書です。ISO27001の要求事項に基づき、組織の情報資産を守るための具体的な管理策を選定し、その適用範囲を明示します。
適用宣言書を作成する目的は、組織が情報セキュリティにおいて何を重視しているかを明確にし、関係者に対して透明性を提供することです。また、適用宣言書の作成を通じて、組織のセキュリティニーズやリスク評価の結果を踏まえた管理策の選択ができます。
適用宣言書の作成には、組織内の情報資産の特定やリスク評価、管理策の選定というステップが含まれます。適用宣言書をしっかりと作成することで、情報セキュリティの強化に向けた実効性のある計画を立てることが可能です。
6. まとめ
今回は、ISMSの管理策や要求事項との違い、決定方法を解説しました。
ISMSの管理策は、組織の情報セキュリティを高めるために欠かせない要素です。これを正しく理解し、適切に適用することが、組織の安全と信頼を確保するための重要なステップとなります。
アトミテックでは、委託先リスク管理の手順をまとめた委託先リスク管理ガイドを公開しています。ぜひ自社の委託先管理の参考になさってください。