「附属書A」時代にあわせて増えたもの、減ったもの：みならい君のISMS改訂対応物語（4）（1/3 ページ）

セキュリティの詳細に関する管理策である「附属書A」。新旧比較をすることで、今求められている管理項目の傾向が見えてきます。

[打川和男，＠IT]

連載目次

　この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMS仕組みを新規格（ISO/IEC27001:2013）へ対応する作業を行っていく物語です。

　読者の皆さまには、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

　なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

　第4回目となる今回のテーマは、「附属書Aの変更点や追加点の理解（1）」です。

附属書Aの新旧比較

さあみんな、そろそろ始めようか？

は〜い、本日もよろしくお願いしま〜す！

前回までのミーティングで解説した、規格要求事項の改訂のポイントは理解できたかな？

はい！ ハイレベルストラクチャの採用によって追加された規格要求事項と、ISMS固有の要求事項の改訂が、キチンと整理できました！

常務、今日は附属書Aの変更ポイントの理解ですね！

そうだね、まずは附属書Aとは何かをおさらいしようか！

は〜い！ パスワード管理や入退室管理など、セキュリティの詳細に関する規格要求事項ですよね！

う〜ん、大きく外れてはいないけど、規格要求事項、つまり必ず実施しなければならないものではないんだよ！

え〜っ！

常務！ 私は、「附属書Aとは、リスク特定プロセスで、受容できないと判断されたリスクを低減するための、達成すべきことを記述した管理目的、およびその管理目的を達成するために適用できる一つ以上の管理策が記載されたもの」と理解しています。

そうだね、あくまでも選択はリスクアセスメントの結果に基づいて組織がするものであって、前回までで解説した、規格要求事項（本文4.1〜10.2）とは違い、必ず実施しなければならないものではないんだよ！

そっか〜、少し誤解していました。

図1 附属書Aの改訂のポイント

それでは、なおこ君！ お願いしていた資料はできているかな？

はい常務！ 附属書Aの新旧比較表ですね！

図2 附属書Aの新旧比較

わぁ〜、管理目的が三つも増えたんですね！ それじゃあ、管理策の数も増えたんでしょうか。追加作業が大変だ〜！

みならい君、それは違うわ。管理策の総数は減ったのよ！

えっ？ どういうこと？

前規格のISO／IEC27001：2005では、11項目（A.5 セキュリティ基本方針〜A.15 順守）、その項目の下に39の管理目的、その管理目的の下に133の管理策が規定されていたよね！ それがISO／IEC27001：2013より、14項目、35の管理目的、114の管理策に変更され、管理目的が九つ、管理策はトータルして19も減ったんだよ！

そうですよね！ 管理策だけ見れば、削除されたものもあれば追加されたものもありますね！

なるほど！

そうだね、まずはそこから整理していこうか！

は〜い、よろしくお願いしま〜す！