14-1. 管理策の分類と構成
14-1-1. 管理策:ISO/IEC 27002
ISO/IEC 27001に記載されている要求事項をもとに、さらに具体的なISMSの管理策を示した規格がISO/IEC 27002です。管理策とは、リスク対応策のことを指します。企業はISMSを導入する際、ISO/IEC 27002にある管理策から、自社に合ったものを選択し、対策基準として導入することになります。
ISO/IEC 27002は、2022年に改訂がありました。その際の変更点としては、管理策の項目数と章立ての変更、テーマおよび属性の導入、全管理策に目的を追加などがあります。管理策の数は、2013年版では14分野114項目でしたが、2022年版ではいくつかが統合されて82項目になり、新しく11項目が追加され、合計で93項目となりました。
2022年版では、この93の管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の 4カテゴリに分類されています(箇条5~8 )。
また、2022年版では「属性(attribute) 」という新しい概念が導入されました。各管理策には、属性値がハッシュタグにより表示されるようになっています。例えば、管理策のタイプには、予防・検知・是正の3つの属性値があります。この他、情報セキュリティ特性、サイバーセキュリティ概念、運用機能、セキュリティドメインの観点からも属性値が付けられています。 これらの属性を参考にして、組織に必要な情報セキュリティ対策を選択することになります。
14-1-2. 管理策のテーマと属性
ISO/IEC 27002の箇条5~8に示される4種の管理策での分類(組織的・人的・物理的・技術的)を、テーマと呼びます。管理策の分類はさまざまな考え方がありますが、多くの組織に共通であると考えられる最低限の分類としてこの4つが採用されています。テーマとは別の視点で、より細かに管理策を見るのに際しては、属性という機能があります。各管理策に属性が付与されたことにより、検索性が向上し、管理策のフィルタリング、並び替え、提示がしやすくなりました。
管理策の属性には、他の組織や団体が発行するガイドラインなどにおける考え方を取り入れているものがあります。「サイバーセキュリティ概念」では、サイバーセキュリティフレームワークにおける、フレームワークコアの5つの機能分類がそのまま属性値となっています。また、「運用機能」の属性値は、2022年の改訂前におけるISO/IEC 27002での管理策の分類がもとになっています。
【組織的管理策】5.2 情報セキュリティの役割及び責任
#対応力
【人的管理策】6.8 情報セキュリティ事象の報告
(出典)MSQA「ISO/IEC 27002:2022 対応 情報セキュリティ管理策実践ガイド」を基に作成
【物理的管理策】7.4 物理的セキュリティの監視
#検知
#検知
#防御
【技術的管理策】8.16 監視活動
#是正
#対応
(出典)MSQA「ISO/IEC 27002:2022 対応 情報セキュリティ管理策実践ガイド」を基に作成
14-1-3. 対策基準と実施手順の作成方法
管理策から自社に必要な対策を適用宣言書として選択して対策基準を作成し、実施手順を作成できるようにする手順を説明します。
・管理策の決定:リスクアセスメントの結果を考慮して、適切なリスク対応を選定します。選定したリスク対応の選択肢に基づいて、実施に必要なすべての管理策を決定します。管理策は、ISO/IEC 27001の附属書Aから選択できます。附属書Aに適切な管理策がない場合は、独自に追加の管理策を選択できます。 ・管理策の検証:決定した管理策を、ISO/IEC 27001の付属書Aに規定された管理策と比較し、自社にとって必要な管理策が見落とされていないか検証します。 ・適用宣言書の作成:適用宣言書を作成します。適用宣言書とは、ISMSに関連してその組織が適用する管理策を記述した、文書化された情報のことです。適用宣言書に含める事項は以下の通りです。必要な管理策
それらの管理策を含めた理由
それらの管理策を実施しているか否か
付属書Aに規定する管理策を除外した理由 ・実施手順の作成:管理策(対策基準)をもとに具体的な実施手順を作成します。実施手順は、組織の内部文書として作成します。従業員が具体的に何を順守して行動すればよいか理解できるよう、わかりやすく策定するよう心掛けることが大切です。
