13-3. ISMS文書体系（ISMS構築・導入に必要な文書と記録）

対策基準策定時の注意点 ISMSの認証取得を目標にして情報セキュリティ対策を進めると、文書の整備が目的になり、本来の情報セキュリティ対策がおざなりになってしまい、ISMSが形骸化するケースが少なくありません。策定した管理策が継続的に実行されていくことが重要となります。
組織は、情報セキュリティリスクを適切にコントロールするために必要となる管理策の有効性を検討し、対策基準を策定することが大切です。

13-3-2. ISMSの要求事項および管理策

　ISO/IEC 27001では、組織が効率的にISMSの構築・実施・維持・継続的改善を行うとともに、情報セキュリティのリスクアセスメントおよびリスク対応を実現するために必要な要求事項を定めています。ISO/IEC 27001の要求事項は、ISMS認証を取得するには必ず対応しなければなりません。どのような内容が要求されているのか認識するため、各要求事項の概要について説明します。要求事項は、後述のPDCAサイクルと呼ばれる運用サイクルに落とし込むことにより、情報セキュリティマネジメントを実施することになります。

　マネジメントシステムとは、組織の方針や目標を定めて、その目標を達成するために必要な、組織を管理する仕組みのことを指します。情報セキュリティのマネジメントシステムであるISMSも、組織によって定めた目標達成のための取組です。その目標は、情報セキュリティに関することや、会社が抱えている機密情報をどう保護していくのかという内容となります。その目標に向かってマネジメントを行っていくための方法として、要求事項を実施しながら、PDCA（Plan・Do・Check・Act）サイクルを繰り返し、スパイラルアップしていくことが、ISO/IEC 27001では求められています。

図55. ISO/IEC 27001のPDCAサイクル

　ISO/IEC 27001に記載されている要求事項をもとに、具体的な情報セキュリティマネジメントの管理策を示した規格としてISO/IEC 27002があります。 ISO/IEC 27001の付属書Aは、このISO/IEC 27002の内容をそのまま取り入れたもので、情報セキュリティ上のリスクを低減するための目的と、その目的を達成するための管理策で構成されています。
付属書Aは、ISMSの本文（ISO/IEC 27001の規格要求事項）を補完するガイドラインとしての位置づけにあります。業務内容やISMSの適用範囲によってはすべての管理策を適用することができない場合があり、その際には、適用できない理由を明確にし、採用しないという選択をすることができます。つまり、一律にすべての管理策を適用するのではなく、理由を含めて採用しない管理策を明示する必要があります。
ISO/IEC 27002では、合計93種の管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」 の4カテゴリに分類される形で解説されています。

　ISO/IEC 27002の箇条5～8は、93種のISMS管理策で構成されています。以下の表は、それらの管理策標題の一覧です。詳細については「（別紙）ISO/IEC 27002:2022 管理策と目的」をご確認ください。

　ISO/IEC 27002では、2022年の改訂より「属性」という考え方が新たに追加されました。この「属性」についての各管理策としては「予防（ preventive ）」、「検知（ detective ）」、「是正（ corrective ）」のいずれかに分類され、またその特性によって「機密性」、「完全性」、「可用性」のいずれかに関連付けられています。さらに、サイバーセキュリティ概念、運用機能、セキュリティドメインという3つの観点からも属性のグループ分けが行われています。「属性」という考え方が追加された結果、各管理策をより柔軟かつさまざまな場面に採用できるようになりました。
この「属性」という考え方は、他の組織や団体が発行するガイドラインなどとの親和性を高める効果も期待できます。例えば、「サイバーセキュリティ概念」では「識別、防御、検知、対応、復旧」という5つの属性値が示されていますが、これは米国国立標準研究所（NIST）が発行しているCSF（サイバーセキュリティフレームワーク）でも採用されているものです。また、組織は自らの視点を作るために、独自の属性を作ることも可能です。