9-1-1. 管理策:ISO/IEC 27002
ISO/IEC 27001に記載されている要求事項をもとに、さらに具体的なISMSの管理策を示した規格がISO/IEC
27002です。管理策とは、リスク対応のための対策のことを指します。企業はISMSを導入する際、ISO/IEC
27002にある管理策から、自社に合ったものを選択し、対策基準として導入することになります。
ISO/IEC
27002は、2022年に改訂がありました。その際の変更点としては、管理策の項目数と章立ての変更、テーマおよび属性の導入、全管理策への目的の追加などがあります。管理策の数は、2013年版では14分野114項目でしたが、2022年版ではいくつかが統合されて82項目になり、新しく11項目が追加され、合計で93項目となりました。
2022年版では、この93の管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の
4つのカテゴリに分類されています(箇条5~8 )。
また、2022年版では「属性(attribute)
」という新しい概念が導入されました。各管理策には、属性値がハッシュタグで表示されるようになっています。たとえば、管理策のタイプには、予防・検知・是正の3つの属性値があります。この他、情報セキュリティ特性、サイバーセキュリティ概念、運用機能、セキュリティドメインの観点からも属性値がつけられています。
これらの属性を参考にして、組織に必要な情報セキュリティ対策を選択することになります。