より具体的かつ明確に、「附属書A」の変更点や追加点を深掘りするみならい君のISMS改訂対応物語(5)(2/2 ページ)

» 2014年12月24日 18時00分 公開
[打川和男@IT]
前のページへ 1|2       

附属書Aで変更された管理策は

ではなおこ君! 次に、2013年版で変更された管理策を整理しようか。


はい! 本質的な変更がされた管理策は、以下の九つです。


  • A.8.3.1 取外し可能な媒体の管理
  • A.9.2.5 利用者アクセス権のレビュー
  • A.9.4.2 セキュリティに配慮したログオン手順
  • A.10.1.2 鍵管理
  • A.12.1.2 変更管理
  • A.12.4.3 実務管理者および運用担当者の作業ログ
  • A.17.1.1 情報セキュリティ継続の計画
  • A.17.1.2 情報セキュリティ継続の実施
  • A.17.1.3 情報セキュリティ継続の検証、レビューおよび評価

みならい君

どんな変更があるんだろう?


図4 2013年版で変更された管理策

多くは、管理策をより明確にするための変更だよ!


例えば、旧規格の「取外し可能な媒体の管理」では、“管理手順は備えること”しか規定されていなかったのが、“組織が採用した分類体系に従って、管理手順は備えること”と、管理手順を決定する際に考慮しなければならない要件が明確になっているわ!


図5 2013年版の取外し可能な媒体の管理

「利用者アクセス権のレビュー」もそうだね! 旧規格の「利用者アクセス権のレビュー」では、“管理者は〜レビューしなければならない”しか規定されていなかったのが、“資産の管理者は〜レビューしなければならない”と、具体的に誰がレビューを実施しなければならないかが明確になっているね!


みならい君

なるほど〜!


図6 変更された管理策のポイント(クリックで拡大)

みんな理解できたかな? 次回のミーティングでは、移行審査までの準備のポイントを明確にしていこう!


は〜い!


 最終回では、今回の連載の総まとめとなる「移行審査までの準備のポイント」を解説します。お楽しみに!

ISMS改訂対応のステップ

打川和男(うちかわ かずお)

株式会社アイテクノ 常務取締役 コンサルティング事業本部 本部長 ISMS上席コンサルタント

ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001、ISO14001、ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI(英国規格協会)の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。

2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本(秀和システム)」の著者であり、ISO関連の著書は20冊を超える。

2015年1〜3月に開催される「ISO27001:2013 ISMS移行実践コース」(移行対応のための文例集付き)でも講師を務める。

本記事に関するお問い合わせ:kazuo.uchikawa@itecno.co.jp


前のページへ 1|2       

Copyright © ITmedia, Inc. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

Microsoft & Windows最前線2025
AI for エンジニアリング
ローコード/ノーコード セントラル by @IT - ITエンジニアがビジネスの中心で活躍する組織へ
Cloud Native Central by @IT - スケーラブルな能力を組織に
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。