連載
» 2014年11月13日 18時00分 UPDATE

みならい君のISMS改訂対応物語(4):「附属書A」時代にあわせて増えたもの、減ったもの (1/3)

セキュリティの詳細に関する管理策である「附属書A」。新旧比較をすることで、今求められている管理項目の傾向が見えてきます。

[打川和男,@IT]
「みならい君のISMS改訂対応物語」のインデックス

連載目次

 この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格(ISO/IEC27001:2013)へ対応する作業を行っていく物語です。

 読者の皆さまには、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

 第4回目となる今回のテーマは、「附属書Aの変更点や追加点の理解(1)」です。


附属書Aの新旧比較

さあみんな、そろそろ始めようか?


みならい君

は〜い、本日もよろしくお願いしま〜す!


前回までのミーティングで解説した、規格要求事項の改訂のポイントは理解できたかな?


はい! ハイレベルストラクチャの採用によって追加された規格要求事項と、ISMS固有の要求事項の改訂が、キチンと整理できました!


みならい君

常務、今日は附属書Aの変更ポイントの理解ですね!


そうだね、まずは附属書Aとは何かをおさらいしようか!


みならい君

は〜い! パスワード管理や入退室管理など、セキュリティの詳細に関する規格要求事項ですよね!


う〜ん、大きく外れてはいないけど、規格要求事項、つまり必ず実施しなければならないものではないんだよ!


みならい君

え〜っ!


常務! 私は、「附属書Aとは、リスク特定プロセスで、受容できないと判断されたリスクを低減するための、達成すべきことを記述した管理目的、およびその管理目的を達成するために適用できる一つ以上の管理策が記載されたもの」と理解しています。


そうだね、あくまでも選択はリスクアセスメントの結果に基づいて組織がするものであって、前回までで解説した、規格要求事項(本文4.1〜10.2)とは違い、必ず実施しなければならないものではないんだよ!


みならい君

そっか〜、少し誤解していました。


図1 附属書Aの改訂のポイント

それでは、なおこ君! お願いしていた資料はできているかな?


はい常務! 附属書Aの新旧比較表ですね!


図2 附属書Aの新旧比較
みならい君

わぁ〜、管理目的が三つも増えたんですね! それじゃあ、管理策の数も増えたんでしょうか。追加作業が大変だ〜!


みならい君、それは違うわ。管理策の総数は減ったのよ!


みならい君

えっ? どういうこと?


前規格のISO/IEC27001:2005では、11項目(A.5 セキュリティ基本方針〜A.15 順守)、その項目の下に39の管理目的、その管理目的の下に133の管理策が規定されていたよね! それがISO/IEC27001:2013より、14項目、35の管理目的、114の管理策に変更され、管理目的が九つ、管理策はトータルして19も減ったんだよ!


そうですよね! 管理策だけ見れば、削除されたものもあれば追加されたものもありますね!


みならい君

なるほど!


そうだね、まずはそこから整理していこうか!


みならい君

は〜い、よろしくお願いしま〜す!


       1|2|3 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。