★ISO27001の附属書A 管理策とは #1

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

附属書 A 管理策とは？

JIS Q 27001ではリスク対策の管理策を附属書 Aの管理策よりA5～A15までの１１のカテゴリー、A5.1～A15.1まで３９の管理目的、 １３３項目ある管理策から選択するようになっています。

組織の規模や情報資産とリスク分析、評価、費用対効果を勘案して管理策を選択することができる 自由度の高い規格になっています。
どの管理策を選択したのかは「適用宣言書」に記載します。 採用しなかった管理策には不採用の明確な理由が必要です。 採用しなかった管理策も不採用の理由を「適用宣言書」に記載します。

A.5 セキュリティ基本方針

A.5.1　情報セキュリティ基本方針

【管理の目的】
情報セキュリティを取り組むための組織、経営陣のベクトルを規定するため。

【管理策の選択項目】
1 情報セキュリティ基本方針文書
2 情報セキュリティ基本方針レビュー

【管理策の説明】
経営層により承認された情報セキュリティ基本方針を文書化して、 全従業員と組織に関連する外部関係者に公表・周知する必要があります。
策定された基本方針は定期的にレビューして有効性を確認する必要があります。

A.6 情報セキュリティのための組織

A.6.1　内部組織

【管理の目的】
組織内部の情報セキュリティを管理するため。

【管理策の選択項目】
1　情報セキュリティに対する経営陣の責任
2　情報セキュリティの調整
3　情報セキュリティの責任の割当て
4　情報処理設備の認可プロセス
5　秘密保持契約
6　関係当局との連絡
7　専門組織との連絡
8　情報セキュリティの独立したレビュー

【管理策の説明】
情報セキュリティは経営陣が責任をもち、トップダウンで推進する必要があり、 推進には各部門の責任者が調整する必要があります。
ISMS運用ための責任者を決めておく必要もあります。
新しく情報処理設備やPCサーバを導入する場合は、認可する手順を定めておく必要があります。
組織の業務に関係する相手に応じて、秘密保持に関する契約や誓約書を提出する手順を定めておく必要があります。

行政機関、通信会社等との連絡体制を確立しておく必要があります。
日本情報処理開発協会（JIPDEC） 、 情報処理推進機構（IPA） 、 サイバークリーンセンター 、 JPCERT コーディネーションセンター
などのIT関連の専門機関と連絡体制を確立しておく必要があり、 ISMS（情報セキュリティマネジメントシステム）は定期的に内部監査とISMS認証機関による 外部監査を受ける必要があります。

A.6.2　外部組織

【管理の目的】
外部組織からのアクセスにおける組織の情報資産を維持するため。

【管理策の選択項目】
1　外部組織に関係したリスクの識別
2　顧客対応におけるセキュリティ
3　第三者との契約におけるセキュリティ

【管理策の説明】
外部組織からのアクセスにおける手順を定めておく必要があり、 顧客に組織の情報資産のアクセスを許す場合に事前にリスクを想定して、 アクセス手順を定めておく必要があります。
第三者と情報資産に関わる委託契約を結ぶ場合はISMSに関連する全て の要求事項を網羅する必要があります。

ISO27001の附属書Aとは #2 A.7 資産の管理