東京都産業労働局 令和5年度中⼩企業サイバー
セキュリティ対策継続支援事業

文字サイズ

9

管理策のテーマと属性 9-1. 管理策の分類と構成

章の目的

第9章では、ISO/IEC 27002における管理策の分類と構成について理解することを目的とします。

主な達成目標

  • ISMSの管理策について、テーマと属性という観点を学んだ上で管理策の構成を理解すること

9-1-1. 管理策:ISO/IEC 27002

ISO/IEC 27001に記載されている要求事項をもとに、さらに具体的なISMSの管理策を示した規格がISO/IEC 27002です。管理策とは、リスク対応のための対策のことを指します。企業はISMSを導入する際、ISO/IEC 27002にある管理策から、自社に合ったものを選択し、対策基準として導入することになります。
ISO/IEC 27002は、2022年に改訂がありました。その際の変更点としては、管理策の項目数と章立ての変更、テーマおよび属性の導入、全管理策への目的の追加などがあります。管理策の数は、2013年版では14分野114項目でしたが、2022年版ではいくつかが統合されて82項目になり、新しく11項目が追加され、合計で93項目となりました。
2022年版では、この93の管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の 4つのカテゴリに分類されています(箇条5~8 )。
また、2022年版では「属性(attribute) 」という新しい概念が導入されました。各管理策には、属性値がハッシュタグで表示されるようになっています。たとえば、管理策のタイプには、予防・検知・是正の3つの属性値があります。この他、情報セキュリティ特性、サイバーセキュリティ概念、運用機能、セキュリティドメインの観点からも属性値がつけられています。 これらの属性を参考にして、組織に必要な情報セキュリティ対策を選択することになります。