27-14. 第14章. ISMSの管理策
14-1. 管理策の分類と構成
章の目的
第14章では、ISO/IEC 27002における管理策の分類と構成について理解することを目的とします。
主な達成目標
・ ISMSの管理策について、テーマと属性という観点を学んだ上で管理策の構成を理解すること
要旨
14章の全体概要
14章では、ISO/IEC 27002に基づくISMSの管理策について説明しています。企業は、組織的・人的・物理的・技術的な4つのカテゴリに分類された93項目の管理策から、自社のリスクに応じた適切な管理策を選び、対策基準として導入する必要があります。また、各管理策には目的と属性が追加され、リスクの予防・検知・是正などの観点から策定が求められます。2022年版の改訂により、管理策の項目数と内容が見直され、組織に適した情報セキュリティ対策の選定と実施が重要視されています。
14-1. 管理策の分類と構成
管理策:ISO/IEC 27002
管理策の数は、2013年版では14分野114項目でしたが、2022年版ではいくつかが統合されて82項目になり、新しく11項目が追加され、合計で93項目となりました。2022年版では、この93の管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の4つのカテゴリに分類されています。また、「属性(attribute)」という新しい概念が導入されました。この属性という概念が導入されたことで、管理策のフィルタリング、並び替え、提示がしやすくなりました。ISMSを構築する際には、これらの管理策から、自社にあったものを選択し、対策基準として採用します。
管理策のテーマと属性について説明しています。
テーマとは、ISO/IEC 27002の箇条5~8に示される4種の管理策での分類(組織的・人的・物理的・技術的)のことです。
属性とは、テーマとは別の視点で、より細かに管理策を見るためのものです。各管理策に属性が付与されたことにより、検索性が向上し、管理策のフィルタリング、並び替え、提示がしやすくなりました。
図111. ISO/IEC 27002:2022の概要
また、情報セキュリティのために必要な管理策を適用宣言書として選定し、対策基準を作成し、その後に実施手順を策定する方法を説明しています。
• 管理策の決定:
リスクアセスメントの結果を考慮し、適切なリスク対応策を選び出し、ISO/IEC 27001の附属書Aから適切な管理策を決定します。
• 管理策の検証:
決定した管理策が適切であり、見落としがないかISO/IEC 27001に基づき検証します。
• 適用宣言書の作成:
組織が実施する管理策を文書化した適用宣言書を作成し、必要な管理策とその理由を記載します。
• 実施手順の作成:
管理策をもとに組織内部での具体的な実施手順を作成します。従業員が理解しやすいように、わかりやすい言葉で明確に策定することが重要です。
訴求ポイント
企業や組織はISO/IEC 27002に示された管理策から組織に必要なものを選択し、対策基準として導入することになります。
認識していただきたい実施概要
• ISMSにおけるリスク対応のための対策を指すものとして管理策があり、ISO/IEC 27002:2022に合計93項目示されていること。
• ISO/IEC 27002:2022で示される管理策には4つのテーマと5つの属性があり、それらを参考にしながら組織に必要なセキュリティ対策を選択することが重要であること。
詳細理解のため参考となる文献(参考文献)
