検索
連載

ISMS改訂対応の総仕上げ、移行審査の計画を立て、受審するみならい君のISMS改訂対応物語(6)(2/3 ページ)

みならいくんたちのISMS改訂準備も今回が最終回。最後は移行審査までの計画を整理し、これまでの総仕上げを行います。

Share
Tweet
LINE
Hatena

管理策に関する規程の改訂

次は、情報セキュリティ対策規程など管理策に関する規程の改訂だね!


第4回目第5回目のミーティングでやった、追加/変更された規格要求事項の対応ですね!



図3 2013年版で追加/変更された管理策(クリックで拡大)

そうだね、追加された管理策と変更された管理策では、対応が変わるね。


みならい君

そうですよね。追加された管理策の対応は必要に応じてリスクアセスメントを実施して、その適用可否を判断してから手順を追加する必要がありますね!


それに対して、変更された管理策の対応では、現在それらの管理策を適用している場合に当該手順の改訂をすればよいんですね!


よく理解できているね! 最後は、適用宣言書の改訂だね。



図4 2013年版の適用宣言書(クリックで拡大)
みならい君

これは簡単ですね! 2005年度版の適用宣言書を元に転記して、追加された管理策で“適用”と判断したものを追記して、2013年版の附属書Aになくなった管理策を削除すればよいのですよね?


みならい君ちょっと待って! 2013年版の附属書Aでなくなった管理策は、単に削除していいのかしら?


なおこ君、良く気が付いたね!


みならい君

え〜っ、どういうことですか?


2013年版でなくなった管理策といっても、その時点ではリスクを低減する必要があると判断して適用されたわけよね? 例えば、うちの会社では現在でも2005年版の附属書Aの「A.10.9.3 公開情報」を適用して、Webサイトの完全性を保つための管理策を講じているわ


みならい君

そうか! 附属書Aから管理策が削除されているからといって、当社からそのリスクがなくなったわけではないから、単に削除すればいいというわけではないんですね!


ISO27001:2013の“6.1.3 情報セキュリティリスク対応”b)の注記でも、「任意の情報源の中から管理策を特定することができる」と書かれているわ。


みならい君

なるほど! その“任意の情報源”の一つとして、2005年版の附属書Aを採用するという考え方ですね!


そうだね、各企業の対応は、大きく分けて次の二つが多いようだね


  • 2013年版で削除された2005年版の附属書Aの管理策に基づく、情報セキュリティ管理策は継続するが、適用宣言書からは除く
  • 2013年版で削除された2005年版の附属書Aの管理策に基づく、情報セキュリティ管理策を継続し、適用宣言書に、それらの2005年版の附属書Aの管理策を残す

みならい君

なるほど! よ〜く分かりました!


それでは、移行審査までの計画を整理しようか?


は〜い!


Copyright © ITmedia, Inc. All Rights Reserved.

Security & Trust 記事ランキング

  1. 増える標的型ランサムウェア被害、現場支援から見えてきた実態と、脆弱性対応が「限界」の理由
  2. 日本人の約半数が「1年前より危険」と考えるオンライン詐欺とは マカフィーがホリデーショッピング詐欺に関して調査
  3. Google Cloudがサイバーフィジカルシステムのレジリエンスを高める10の指標を解説 最初にすべきことは?
  4. ランサムウェア攻撃を受けた企業、約6割が「サプライチェーンのパートナー経由で影響を受けた」 OpenText調査
  5. 「このままゼロトラストへ進んでいいの?」と迷う企業やこれから入門する企業も必見、ゼロトラストの本質、始め方/進め方が分かる無料の電子書籍
  6. セキュリティ専門家も「何かがおかしいけれど、攻撃とは言い切れない」と判断に迷う現象が急増 EGセキュアソリューションズ
  7. セキュリティ担当者の54%が「脅威検知ツールのせいで仕事が増える」と回答、懸念の正体とは? Vectra AI調査
  8. 米国/英国政府が勧告する25の脆弱性、活発に悪用されている9件のCVEとは、その対処法は? GreyNoise Intelligence調査
  9. 長続きする高度セキュリティ人材育成の秘訣を「第19回情報危機管理コンテスト」から探る
  10. MicrosoftがAD認証情報を盗むサイバー攻撃「Kerberoasting」を警告 検知/防御方法は?
ページトップに戻る