より具体的かつ明確に、「附属書A」の変更点や追加点を深掘りする：みならい君のISMS改訂対応物語（5）（2/2 ページ）

時代にマッチするようアップデートされた「附属書A」の内容を、みならい君たちといっしょにさらに深く掘り下げます。

[打川和男，＠IT]

附属書Aで変更された管理策は

ではなおこ君！ 次に、2013年版で変更された管理策を整理しようか。

はい！ 本質的な変更がされた管理策は、以下の九つです。

• A.8.3.1 取外し可能な媒体の管理
• A.9.2.5 利用者アクセス権のレビュー
• A.9.4.2 セキュリティに配慮したログオン手順
• A.10.1.2 鍵管理
• A.12.1.2 変更管理
• A.12.4.3 実務管理者および運用担当者の作業ログ
• A.17.1.1 情報セキュリティ継続の計画
• A.17.1.2 情報セキュリティ継続の実施
• A.17.1.3 情報セキュリティ継続の検証、レビューおよび評価

どんな変更があるんだろう？

図4　2013年版で変更された管理策

多くは、管理策をより明確にするための変更だよ！

例えば、旧規格の「取外し可能な媒体の管理」では、“管理手順は備えること”しか規定されていなかったのが、“組織が採用した分類体系に従って、管理手順は備えること”と、管理手順を決定する際に考慮しなければならない要件が明確になっているわ！

図5　2013年版の取外し可能な媒体の管理

「利用者アクセス権のレビュー」もそうだね！ 旧規格の「利用者アクセス権のレビュー」では、“管理者は〜レビューしなければならない”しか規定されていなかったのが、“資産の管理者は〜レビューしなければならない”と、具体的に誰がレビューを実施しなければならないかが明確になっているね！

なるほど〜！

図6　変更された管理策のポイント（クリックで拡大）

みんな理解できたかな？ 次回のミーティングでは、移行審査までの準備のポイントを明確にしていこう！

は〜い！

　最終回では、今回の連載の総まとめとなる「移行審査までの準備のポイント」を解説します。お楽しみに！

ISMS改訂対応のステップ

「みならい君のISMS改訂対応物語」バックナンバー

• ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審する
• より具体的かつ明確に、「附属書A」の変更点や追加点を深掘りする
• 「附属書A」時代にあわせて増えたもの、減ったもの
• 情報セキュリティマネジメントの改訂ポイント
• 何が変わった？ 新しい「規格要求事項」を理解しよう
• ご存じですか？ ISMS規格改訂の背景と意図

打川和男（うちかわ　かずお）

株式会社アイテクノ　常務取締役　コンサルティング事業本部 本部長　ISMS上席コンサルタント

ビジネスコンサルティングに従事した後、ISO認証支援コンサルティング事業を立ち上げ、ISO9001､ISO14001､ISMSに関するコンサルティングに従事。2006年から、ISOの認証機関であるBSI（英国規格協会）の日本法人に教育事業本部長として入社、各種マネジメントシステム規格の普及活動、各種研修・セミナーに関する開発、講演、執筆活動に従事。特にITサービスマネジメントのISO/IEC20000、事業継続マネジメントのBS25999、および学習サービスマネジメントのISO29990の国内立ち上げに従事。

2011年より、株式会社アイテクノのコンサルティング事業本部長としてISMSやBCMSをはじめとするISOマネジメントシステム規格の認証支援コンサルティング、講演、企業内研修講師、執筆活動に従事している。「図解入門ビジネス 最新 ISO27001:2013の仕組みがよ〜くわかる本（秀和システム）」の著者であり、ISO関連の著書は20冊を超える。

2015年1〜3月に開催される「ISO27001:2013　ISMS移行実践コース」（移行対応のための文例集付き）でも講師を務める。

本記事に関するお問い合わせ：kazuo.uchikawa@itecno.co.jp