★ISO27001の附属書A 管理策とは #2

Tweet    [PR] 企業向けeラーニングサービス e 研修 【S-LMS+】

A.7 資産の管理

A.7.1　資産に対する責任

【管理の目的】
組織の情報資産を維持管理するため。

【管理策の選択項目】
1　資産目録
2　資産の管理責任者
3　資産利用の許容範囲

【管理策の説明】
組織の情報資産を全て把握し、重要度の高い資産は目録を作成し、維持管理する必要があります。
組織の情報資産は資産担当部門と管理責任者を定める必要があり、 情報資産の利用に関する規定を定める必要があります。

A.7.2　情報の分類

【管理の目的】
情報資産の適切なレベルでの運用を確実しするため。

【管理策の選択項目】
1　分類の指針
2　情報のラベル付け及び取扱い

【管理策の説明】
機密、部外秘、社外秘、公開　など情報の価値、重要性に応じた分類方法を定める必要があり、 情報の価値、重要性に応じたラベル付けし、取扱い手順を定める必要があります。

A.8 人的資源のセキュリティ

A.8.1　雇用前

【管理の目的】
従業員や採用予定の従業員に誓約書等を提出してもらうことで、不正行為を防ぐ。

【管理策の選択項目】
1　役割及び責任
2　選考
3　雇用条件

【管理策の説明】
従業員の情報セキュリティに関する役割と責任を策定して、 文書化する必要があります。
従業員の選考時の経歴の確認は、関連する法律、規則、倫理に従う必要があり、 採用予定の従業員（外注、パート、アルバイトも含む）と 情報セキュリティに関する、個人と組織の責任を記載した雇用契約書を交わす必要があります。

A.8.2　雇用期間中

【管理の目的】
従業員やパート、アルバイト外注者にも情報セキュリティの意識向上のため定期的な教育が必要。

【管理策の選択項目】
1　経営陣の責任
2　情報セキュリティの意識向上、教育及び訓練
3　懲戒手続

【管理策の説明】
経営者の責任として確立されたISMSの手順の遵守を を従業員（外注、パート、アルバイトも含む）に要求する必要があり、 情報セキュリティの意識向上のための教育を定期的に行なう必要があります。
組織の情報資産を脅かした従業員に関する罰則を、組織の就業規則に定める必要があります。

A.8.3　雇用の終了及び変更

【管理の目的】
従業員やパート、アルバイト外注者の雇用形態が変更したか終了した場合の

【管理策の選択項目】
1　雇用の終了及び変更に関する責任
2　資産の返却
3　アクセス権の削除

【管理策の説明】
従業員の雇用が終了した場合、雇用形態が変更された場合の規定や手順を定める必要があり、 情報資産を全て返却する必要があります。
従業員の雇用が終了した場合、情報資産へのアクセス権を全て削除する必要があります。 雇用形態が変更された場合、アクセス権も変更する必要があります。


ISO27001の附属書Aとは #3 A.9 物理的及び環境的セキュリティ