より具体的かつ明確に、「附属書A」の変更点や追加点を深掘りする：みならい君のISMS改訂対応物語（5）（1/2 ページ）

時代にマッチするようアップデートされた「附属書A」の内容を、みならい君たちといっしょにさらに深く掘り下げます。

» 2014年12月24日 18時00分公開

[打川和男，＠IT]

連載目次

　この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みを新規格（ISO/IEC27001:2013）へ対応させる作業を行っていく物語です。

　読者の皆様には、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。

　なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。

　第5回目となる今回のテーマは、「附属書Aの変更点や追加点の理解（2）」です。

附属書Aで追加された管理策とは？

さ〜、みんな、そろそろ始めようか？

は〜い、本日もよろしくお願いしま〜す！

前回までのミーティングで解説した、2013年版で削除、追加、変更された管理策の意図はよく理解できたかな？

はい、意図はキチンと整理できました！

常務、今回は2013年版で追加、変更された管理策のポイントの理解ですね！

そうだね、まずは追加された管理策を整理しようか。

はい常務！追加された管理策は、以下の通りです。

A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ
A.9.2.2 利用者アクセスの提供
A.12.6.2 ソフトウェアのインストールの制限
A.14.2.1 セキュリティに配慮した開発のための方針
A.14.2.5 セキュリティに配慮したシステム構築の原則
A.14.2.6 セキュリティに配慮した開発環境
A.14.2.8 システムセキュリティの試験
A.15.1.3 ICTサプライチェーン
A.16.1.4 情報セキュリティ事象の評価および決定
A.16.1.5 情報セキュリティインシデントへの対応
A.17.2.1 情報処理施設の可用性

システム開発や導入関係が一番多く四つ、インシデント管理の関係が二つ、委託先関係が一つ、残りはBCM関連、インストール、アクセスコントロール、プロジェクトマネジメントが各一つずつですね。

でも目新しいのは、プロジェクトマネジメントやICTサプライチェーン、ソフトウェアのインストールの制限くらいじゃないかしら？

そうだね、では詳しく見ていこうか！まずは、A.16関連だね

図1 2013年版で追加された管理策

旧規格から情報セキュリティインシデントの管理は、管理策として存在していましたよね？

そうよね、本質的な考え方が変わったのかしら？

本質的な考え方は変わっていないんだ。分かりやすく言えば、この管理策が情報セキュリティインシデントマネジメントの一連の流れ「発見、報告」「評価」「対応」「学習」と完全に整合が図られたんだ！

なるほど！情報セキュリティ事象の報告（A.16.1.2）と情報セキュリティ弱点の報告（A.16.1.3）で報告されたものが、「事業運営を危うくする確率および情報セキュリティを脅かす確率が高いもの」か否かを明確にすること、すなわち、情報セキュリティインシデントであるかを判定するための管理策（A.16.1.4 情報セキュリティ事象の評価および決定）が追加されたんですね！

この判定で情報セキュリティインシデントであると判定されたものが、新しく追加された、「A.16.1.5 情報セキュリティインシデントへの対応」に対応するんですね！

そうだね、このように全く新しい管理策ではなく、一連の管理策のプロセスの完備性を高めるために追加されたものもあるんだよ！