連載
» 2014年12月24日 18時00分 UPDATE

みならい君のISMS改訂対応物語(5):より具体的かつ明確に、「附属書A」の変更点や追加点を深掘りする (1/2)

時代にマッチするようアップデートされた「附属書A」の内容を、みならい君たちといっしょにさらに深く掘り下げます。

[打川和男,@IT]
「みならい君のISMS改訂対応物語」のインデックス

連載目次

 この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みを新規格(ISO/IEC27001:2013)へ対応させる作業を行っていく物語です。

 読者の皆様には、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

 なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

 第5回目となる今回のテーマは、「附属書Aの変更点や追加点の理解(2)」です。


附属書Aで追加された管理策とは?

さ〜、みんな、そろそろ始めようか?


は〜い、本日もよろしくお願いしま〜す!


前回までのミーティングで解説した、2013年版で削除、追加、変更された管理策の意図はよく理解できたかな?


はい、意図はキチンと整理できました!


みならい君

常務、今回は2013年版で追加、変更された管理策のポイントの理解ですね!


そうだね、まずは追加された管理策を整理しようか。


はい常務! 追加された管理策は、以下の通りです。


  • A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
  • A.9.2.2 利用者アクセスの提供
  • A.12.6.2 ソフトウェアのインストールの制限
  • A.14.2.1 セキュリティに配慮した開発のための方針
  • A.14.2.5 セキュリティに配慮したシステム構築の原則
  • A.14.2.6 セキュリティに配慮した開発環境
  • A.14.2.8 システムセキュリティの試験
  • A.15.1.3 ICTサプライチェーン
  • A.16.1.4 情報セキュリティ事象の評価および決定
  • A.16.1.5 情報セキュリティインシデントへの対応
  • A.17.2.1 情報処理施設の可用性

みならい君

システム開発や導入関係が一番多く四つ、インシデント管理の関係が二つ、委託先関係が一つ、残りはBCM関連、インストール、アクセスコントロール、プロジェクトマネジメントが各一つずつですね。


でも目新しいのは、プロジェクトマネジメントやICTサプライチェーン、ソフトウェアのインストールの制限くらいじゃないかしら?


そうだね、では詳しく見ていこうか! まずは、A.16関連だね


図1 2013年版で追加された管理策
みならい君

旧規格から情報セキュリティインシデントの管理は、管理策として存在していましたよね?


そうよね、本質的な考え方が変わったのかしら?


本質的な考え方は変わっていないんだ。分かりやすく言えば、この管理策が情報セキュリティインシデントマネジメントの一連の流れ「発見、報告」「評価」「対応」「学習」と完全に整合が図られたんだ!


みならい君

なるほど! 情報セキュリティ事象の報告(A.16.1.2)と情報セキュリティ弱点の報告(A.16.1.3)で報告されたものが、「事業運営を危うくする確率および情報セキュリティを脅かす確率が高いもの」か否かを明確にすること、すなわち、情報セキュリティインシデントであるかを判定するための管理策(A.16.1.4 情報セキュリティ事象の評価および決定)が追加されたんですね!


この判定で情報セキュリティインシデントであると判定されたものが、新しく追加された、「A.16.1.5 情報セキュリティインシデントへの対応」に対応するんですね!


そうだね、このように全く新しい管理策ではなく、一連の管理策のプロセスの完備性を高めるために追加されたものもあるんだよ!


図2 2013年版の情報セキュリティインシデント管理

利用者アクセスの管理(A.9.2)や開発およびサポートプロセスにおけるセキュリティ(A.14.2)も、それに当たるんですね!


そうだね、よく理解できているね!


みならい君

なるほど〜!


図3 2013年版の利用者アクセスの管理

それ以外が、時代にマッチさせるために追加された管理策ですね?


そうだね、例えば「A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ」があるね!


みならい君

この管理策は、建設業やソフトウェアハウスなど、プロジェクトの形態を用いて、製品やサービスを提供する組織において、各プロジェクトの特性に応じたリスクを考慮した上で、プロジェクト単位での情報セキュリティのルールを明確にすることと理解しているんですが……。


そうだね、ただし、そのような事業形態を持つ組織以外でも、新規ビジネスの企画や社内システムの導入や改善など、部門横断的なプロジェクトを確立し、実施する場合には、この管理策を適用することが期待されているんだよ!


       1|2 次のページへ

Copyright© 2017 ITmedia, Inc. All Rights Reserved.

@IT Special

- PR -

TechTargetジャパン

この記事に関連するホワイトペーパー

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。