「附属書A」時代にあわせて増えたもの、減ったもの:みならい君のISMS改訂対応物語(4)(2/3 ページ)
» 2014年11月13日 18時00分 公開
[打川和男,@IT]
2013年版で削除された管理策
なおこ君! まずは、2013年版で削除された管理策を整理してくれるかな?
はい常務! 2013年版で削除されたのは、2005年版のA.6から四つ、A.8から一つ、A.10から八つ、A.11から九つ、A.12から五つ、A.14から二つ、A.15から二つの合計31の管理策です。
| 2005年版の管理目的および管理策 | 削除された管理策 | |
|---|---|---|
| A.5 セキュリティ基本方針 | A.5.1 情報セキュリティ基本方針 | 削除されたものはなし |
| A.6 情報セキュリティのための組織 | A.6.1 内部組織 | A.6.1.1 情報セキュリティに対する経営陣の責任 A.6.1.2 情報セキュリティの調整 A.6.1.4 情報処理設備の認可プロセス |
| A.6.2 外部組織 | A.6.2.2 顧客対応におけるセキュリティ | |
| A.7 資産の管理 | A.7.1 資産に対する責任 | 削除されたものはなし |
| A.7.2 情報の分類 | 削除されたものはなし | |
| A.8 人的資源のセキュリティ | A.8.1 雇用前 | A.8.1.1 役割および責任 |
| A.8.2 雇用期間中 | 削除されたものはなし | |
| A.8.3 雇用の終了又は変更 | 削除されたものはなし | |
| A.9 物理的および環境的セキュリティ | A.9.1 セキュリティを保つべき領域 | 削除されたものはなし |
| A.9.2 装置のセキュリティ | 削除されたものはなし | |
| A.10 通信および運用管理 | A.10.1 運用の手順および責任 | 削除されたものはなし |
| A.10.2 第三者が提供するサービスの管理 | A.10.2.1 第三者が提供するサービス | |
| A.10.3 システムの計画作成および受入れ | 削除されたものはなし | |
| A.10.4 悪意のあるコードおよびモバイルコードからの保護 | A.10.4.2 モバイルコードに対する管理策 | |
| A.10.5 バックアップ | 削除されたものはなし | |
| A.10.6 ネットワークセキュリティ管理 | 削除されたものはなし | |
| A.10.7 媒体の取扱い | A.10.7.3 情報の取扱手順 A.10.7.4 システム文書のセキュリティ |
|
| A.10.8 情報の交換 | A.10.8.5 業務用情報システム | |
| A.10.9 電子商取引サービス | A.10.9.3 公開情報 | |
| A.10.10 監視 | A.10.10.2 システム使用状況の監視 A.10.10.5 障害のログ取得 |
|
| A.11 アクセス制御 | A.11.1 アクセス制御に対する業務上の要求事項 | 削除されたものはなし |
| A.11.2 利用者アクセスの管理 | 削除されたものはなし | |
| A.11.3 利用者の責任 | 削除されたものはなし | |
| A.11.4 ネットワークのアクセス制御 | A.11.4.2 外部から接続する利用者の認証 A.11.4.3 ネットワークにおける装置の識別 A.11.4.4 遠隔診断用および環境設定用ポートの保護 A.11.4.6 ネットワークの接続制御 A.11.4.7 ネットワークルーティング制御 |
|
| A.11.5 オペレーティングシステムのアクセス制御 | A.11.5.2 利用者の識別および認証 A.11.5.5 セッションのタイムアウト A.11.5.6 接続時間の制限 |
|
| A.11.6 業務用ソフトウェアおよび情報のアクセス制御 | A.11.6.2 取扱いに慎重を要するシステムの隔離 | |
| A.11.7 モバイルコンピューティングおよびテレワーキング | 削除されたものはなし | |
| A.12 情報システムの取得、開発および保守 | A.12.1 情報システムのセキュリティ要求事項 | 削除されたものはなし |
| A.12.2 業務用ソフトウェアでの正確な処理 | A.12.2.1 入力データの妥当性確認 A.12.2.2 内部処理の管理 A.12.2.3 メッセージの完全性 A.12.2.4 出力データの妥当性確認 |
|
| A.12.3 暗号による管理策 | 削除されたものはなし | |
| A.12.4 システムファイルのセキュリティ | 削除されたものはなし | |
| A.12.5 開発およびサポートプロセスにおけるセキュリティ | A.12.5.4 情報の漏えい | |
| A.12.6 技術的ぜい弱性管理 | 削除されたものはなし | |
| A.13 情報セキュリティインシデントの管理 | A.13.1 情報セキュリティの事象および弱点の報告 | 削除されたものはなし |
| A.13.2 情報セキュリティインシデントの管理およびその改善 | 削除されたものはなし | |
| A.14 事業継続管理 | A.14.1 事業継続管理における情報セキュリティの側面 | A.14.1.1 事業継続管理手続への情報セキュリティの組み込み A.14.1.4 事業継続計画策定の枠組み |
| A.15 順守 | A.15.1 法的要求事項の順守 | A.15.1.5 情報処理施設の不正使用防止 |
| A.15.2 セキュリティ方針および標準の順守、並びに技術的順守 | 削除されたものはなし | |
| A.15.3 情報システムの監査に対する考慮事項 | A.15.3.2 情報システムの監査ツールの保護 | |
| 表1 削除された管理策 | ||
なるほど!
第1回目のミーティングでも少し触れたけど、ISO/IEC27001の初版が発行されてから、時代にマッチしなくなった管理策や重複している管理策が見直され、その多くは削除されたんだよ。これが、今回の改訂作業のポイントの一つだね。
特に、A.6.1「内部組織」に関連する管理策は、その他の管理策と重複しているように感じました。
A.6.2「外部組織」の「顧客対応におけるセキュリティ」が削除されたことは、脅威に対する発想そのものが変わったんですね、顧客が脅威の一つであるという発想だったと思うのですが。
そうだね、時代にマッチさせるために、A.10.4「悪意のあるコードおよびモバイルコードからの保護」のように、二つの管理策が一つになることによって、削除された管理策もあるね!
なるほど!
Copyright © ITmedia, Inc. All Rights Reserved.
SpecialPR
スポンサーからのお知らせPR
SpecialPR
注目のテーマ
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR
ITmediaはアイティメディア株式会社の登録商標です。