「附属書A」時代にあわせて増えたもの、減ったもの:みならい君のISMS改訂対応物語(4)(3/3 ページ)
2013年版で追加された管理策
なおこ君! 次は、2013年版で追加された管理策を整理してくれるかな?
はい常務! 2013年版で追加された管理策は、A.6に一つ、A.9に一つ、A.12に一つ、A.14に四つ、A.15に一つ、A.16に二つ、A.17に一つで、合計11あります。
| 2013年版の管理目的および管理策 | 追加された管理策 | |
|---|---|---|
| A.5 情報セキュリティのための方針群 | A.5.1 情報セキュリティのための経営陣の方向性 | 追加された管理策はなし |
| A.6 情報セキュリティのための組織 | A.6.1 内部組織 | A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ |
| A.6.2 モバイル機器およびテレワーキング | 追加された管理策はなし | |
| A.7 人的資源のセキュリティ | A.7.1 雇用前 | 追加された管理策はなし |
| A.7.2 雇用期間中 | 追加された管理策はなし | |
| A.7.3 雇用の終了および変更 | 追加された管理策はなし | |
| A.8 資産の管理 | A.8.1 資産に対する責任 | 追加された管理策はなし |
| A.8.2 情報分類 | 追加された管理策はなし | |
| A.8.3 媒体の取扱い | 追加された管理策はなし | |
| A.9 アクセス制御 | A.9.1 アクセス制御に対する業務上の要求事項 | 追加された管理策はなし |
| A.9.2 利用者アクセスの管理 | A.9.2.2 利用者アクセスの提供 | |
| A.9.3 利用者の責任 | 追加された管理策はなし | |
| A.9.4 システムおよびアプリケーションのアクセス制御 | 追加された管理策はなし | |
| A.10 暗号 | A.10.1 暗号による管理策 | 追加された管理策はなし |
| A.11 物理的および環境的セキュリティ | A.11.1 セキュリティを保つべき領域 | 追加された管理策はなし |
| A.11.2 装置 | 追加された管理策はなし | |
| A.12 運用のセキュリティ | A.12.1 運用の手順および責任 | 追加された管理策はなし |
| A.12.2 マルウェアからの保護 | 追加された管理策はなし | |
| A.12.3 バックアップ | 追加された管理策はなし | |
| A.12.4 ログ取得および監視 | 追加された管理策はなし | |
| A.12.5 運用ソフトウェアの管理 | 追加された管理策はなし | |
| A.12.6 技術的ぜい弱性管理 | A.12.6.2 ソフトウェアのインストールの制限 | |
| A.12.7 情報システムの監査に対する考慮事項 | 追加された管理策はなし | |
| A.13 通信のセキュリティ | A.13.1 ネットワークセキュリティ管理 | 追加された管理策はなし |
| A.13.2 情報の転送 | 追加された管理策はなし | |
| A.14 システムの取得、開発および保守 | A.14.1 情報システムのセキュリティ要求事項 | 追加された管理策はなし |
| A.14.2 開発およびサポートプロセスにおけるセキュリティ | A.14.2.1 セキュリティに配慮した開発のための方針 A.14.2.5 セキュリティに配慮したシステム構築の原則 A.14.2.6 セキュリティに配慮した開発環境 A.14.2.8 システムセキュリティの試験 |
|
| A.14.3 試験データ | 追加された管理策はなし | |
| A.15 供給者関係 | A.15.1 供給者関係における情報セキュリティ | A.15.1.3 ICTサプライチェーン |
| A.15.2 供給者のサービス提供の管理 | 追加された管理策はなし | |
| A.16 情報セキュリティインシデント管理 | A.16.1 情報セキュリティインシデントの管理およびその改善 | A.16.1.4 情報セキュリティ事象の評価および決定 A.16.1.5 情報セキュリティインシデントへの対応 |
| A.17 事業継続マネジメントにおける情報セキュリティの側面 | A.17.1 情報セキュリティ継続 | 追加された管理策はなし |
| A.17.2 冗長性 | A.17.2.1 情報処理施設の可用性 | |
| A.18 順守 | A.18.1 法的および契約上の要求事項の順守 | 追加された管理策はなし |
| A.18.2 情報セキュリティのレビュー | 追加された管理策はなし | |
| 表2 2013年版で追加された管理策 | ||
なるほど!
削除された管理策と同様に、時代にマッチするものが新たに検討され、追加されたんだよ!
特に、A.6.1.5「プロジェクトマネジメントにおける情報セキュリティ」は、時代にマッチするための管理策のように感じました。
A.12.6.2「ソフトウェアのインストールの制限」は、今までなかったことが不思議に思える管理策ですね、日本の企業であれば、たいていはライセンス管理やコンピュータウイルス対策の一環として、自発的にこの管理策を実装しているように思えます。
A.9.2.2「利用者アクセスの提供」も同じね! A.8.3.1の「取外し可能な媒体の管理」も!
なおこ君! 最後に、2013年版で変更された管理策を整理してくれるかな?
はい! 本質的な変更がされた管理策は、以下の八つです。
- A.9.2.5 利用者アクセス権のレビュー
- A.9.4.2 セキュリティに配慮したログオン手順
- A.10.1.2 鍵管理
- A.12.1.2 変更管理
- A.12.4.3 実務管理者および運用担当者の作業ログ
- A.17.1.1 情報セキュリティ継続の計画
- A.17.1.2 情報セキュリティ継続の実施
- A.17.1.3 情報セキュリティ継続の検証、レビューおよび評価
よく理解できているね! 次回のミーティングでは、これらの追加された管理策や変更された管理策のポイントを明確にしていこう!
は〜い!
次の連載では、附属書Aの追加された管理策や変更された管理策のポイントを解説します。お楽しみに!
ISMS改訂対応のステップ打川和男(うちかわ かずお)
株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント
ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。
2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。
本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp
Copyright © ITmedia, Inc. All Rights Reserved.
ITmediaはアイティメディア株式会社の登録商標です。