時代にマッチするようアップデートされた「附属書A」の内容を、みならい君たちといっしょにさらに深く掘り下げます。
この物語は、見習いISMS推進チームメンバーの「みならい君」が、上司や先輩に指導を受けながら、自社のISMSの仕組みを新規格(ISO/IEC27001:2013)へ対応させる作業を行っていく物語です。
読者の皆様には、この連載を通じて、改訂版規格であるISO/IEC27001:2013の規格要求事項の意図や、新規格への対応作業のポイントをご理解いただき、お役立ていただければ幸いです。
なお、「みならい君」が所属する会社は、2008年にISMSを取得しており、次回の定期サーベイランス審査で、ISO/IEC27001:2013の移行審査を受審することが、先日の役員会で決定しました。
第5回目となる今回のテーマは、「附属書Aの変更点や追加点の理解(2)」です。
さ〜、みんな、そろそろ始めようか?
は〜い、本日もよろしくお願いしま〜す!
前回までのミーティングで解説した、2013年版で削除、追加、変更された管理策の意図はよく理解できたかな?
はい、意図はキチンと整理できました!
常務、今回は2013年版で追加、変更された管理策のポイントの理解ですね!
そうだね、まずは追加された管理策を整理しようか。
はい常務! 追加された管理策は、以下の通りです。
システム開発や導入関係が一番多く四つ、インシデント管理の関係が二つ、委託先関係が一つ、残りはBCM関連、インストール、アクセスコントロール、プロジェクトマネジメントが各一つずつですね。
でも目新しいのは、プロジェクトマネジメントやICTサプライチェーン、ソフトウェアのインストールの制限くらいじゃないかしら?
そうだね、では詳しく見ていこうか! まずは、A.16関連だね
旧規格から情報セキュリティインシデントの管理は、管理策として存在していましたよね?
そうよね、本質的な考え方が変わったのかしら?
本質的な考え方は変わっていないんだ。分かりやすく言えば、この管理策が情報セキュリティインシデントマネジメントの一連の流れ「発見、報告」「評価」「対応」「学習」と完全に整合が図られたんだ!
なるほど! 情報セキュリティ事象の報告(A.16.1.2)と情報セキュリティ弱点の報告(A.16.1.3)で報告されたものが、「事業運営を危うくする確率および情報セキュリティを脅かす確率が高いもの」か否かを明確にすること、すなわち、情報セキュリティインシデントであるかを判定するための管理策(A.16.1.4 情報セキュリティ事象の評価および決定)が追加されたんですね!
この判定で情報セキュリティインシデントであると判定されたものが、新しく追加された、「A.16.1.5 情報セキュリティインシデントへの対応」に対応するんですね!
そうだね、このように全く新しい管理策ではなく、一連の管理策のプロセスの完備性を高めるために追加されたものもあるんだよ!
利用者アクセスの管理(A.9.2)や開発およびサポートプロセスにおけるセキュリティ(A.14.2)も、それに当たるんですね!
そうだね、よく理解できているね!
なるほど〜!
それ以外が、時代にマッチさせるために追加された管理策ですね?
そうだね、例えば「A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ」があるね!
この管理策は、建設業やソフトウェアハウスなど、プロジェクトの形態を用いて、製品やサービスを提供する組織において、各プロジェクトの特性に応じたリスクを考慮した上で、プロジェクト単位での情報セキュリティのルールを明確にすることと理解しているんですが……。
そうだね、ただし、そのような事業形態を持つ組織以外でも、新規ビジネスの企画や社内システムの導入や改善など、部門横断的なプロジェクトを確立し、実施する場合には、この管理策を適用することが期待されているんだよ!
Copyright © ITmedia, Inc. All Rights Reserved.