受付時間 9:00〜17:00(平日のみ)
文字サイズ
文字サイズ
ISO/IEC 27001に記載されている要求事項をもとに、さらに具体的なISMSの管理策を示した規格がISO/IEC 27002です。管理策とは、リスク対応策のことを指します。企業はISMSを導入する際、ISO/IEC 27002にある管理策から、自社に合ったものを選択し、対策基準として導入することになります。
ISO/IEC 27002は、2022年に改訂がありました。その際の変更点としては、管理策の項目数と章立ての変更、テーマおよび属性の導入、全管理策に目的を追加などがあります。管理策の数は、2013年版では14分野114項目でしたが、2022年版ではいくつかが統合されて82項目になり、新しく11項目が追加され、合計で93項目となりました。
2022年版では、この93の管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の4カテゴリに分類されています(箇条5~8)。
また、2022年版では「属性(attribute)」という新しい概念が導入されました。各管理策には、属性値がハッシュタグにより表示されるようになっています。例えば、管理策のタイプには、予防・検知・是正の3つの属性値があります。この他、情報セキュリティ特性、サイバーセキュリティ概念、運用機能、セキュリティドメインの観点からも属性値が付けられています。これらの属性を参考にして、組織に必要な情報セキュリティ対策を選択することになります。
ISO/IEC 27002の箇条5~8に示される4種の管理策での分類(組織的・人的・物理的・技術的)を、テーマと呼びます。管理策の分類はさまざまな考え方がありますが、多くの組織に共通であると考えられる最低限の分類としてこの4つが採用されています。テーマとは別の視点で、より細かに管理策を見るのに際しては、属性という機能があります。各管理策に属性が付与されたことにより、検索性が向上し、管理策のフィルタリング、並び替え、提示がしやすくなりました。
管理策の属性には、他の組織や団体が発行するガイドラインなどにおける考え方を取り入れているものがあります。「サイバーセキュリティ概念」では、サイバーセキュリティフレームワークにおける、フレームワークコアの5つの機能分類がそのまま属性値となっています。また、「運用機能」の属性値は、2022年の改訂前におけるISO/IEC 27002での管理策の分類がもとになっています。
| 管理策の属性 | 属性値 | 関連するガイドラインなど |
| 管理策タイプ | 予防、検知、是正 | ー |
| 情報セキュリティ特性 | 機密性、完全性、可用性 | ISO/IEC 27001:2022 |
| サイバーセキュリティ概念 | 識別、防御、検知、対応、復旧 | サイバーセキュリティフレームワーク |
| 運用機能 | ガバナンス、資産管理、情報保護、人的資源のセキュリティ、物理的セキュリティ、システムおよびネットワークセキュリティ、アプリケーションのセキュリティ、セキュリティを保った構成、識別情報およびアクセスの管理、脅威および脆弱性の管理、継続、供給者関係のセキュリティ、法および順守、情報セキュリティ事象管理、情報セキュリティ保証 | ISO/IEC 27002:2022 |
| セキュリティドメイン | ガバナンスおよびエコシステム、保護、防御、対応力 | ー |
【組織的管理策】5.2 情報セキュリティの役割及び責任
| 管理策タイプ | 情報セキュリティ特性 | サイバーセキュリティ概念 | 運用機能 | セキュリティドメイン |
| #予防 | #機密性
#完全性 #可用性 |
#識別 | #ガバナンス | #ガバナンス及びエコシステム
#対応力 |
| 管理策 | 情報セキュリティの役割及び責任を、組織の要求に従って定め、割り当てることが望ましい。 |
| 目的 | 組織内における情報セキュリティの実施、運用及び管理のために、定義され、承認され、理解される構造を確立するため。 |
【人的管理策】6.8 情報セキュリティ事象の報告
| 管理策タイプ | 情報セキュリティ特性 | サイバーセキュリティ概念 | 運用機能 | セキュリティドメイン |
| #検知 | #機密性
#完全性 #可用性 |
#検知 | #情報セキュリティ事象管理 | #防御 |
| 管理策 | 組織は、要員が発見した又は疑いを持った情報セキュリティ事象を、適切な連絡経路を通して時機を失せずに報告するための仕組みを設けることが望ましい。 |
| 目的 | 要員が、特定可能な情報セキュリティ事象を、時機を失せず、一貫性をもって効果的に報告することを支援するため。 |
(出典)MSQA「ISO/IEC 27002:2022 対応 情報セキュリティ管理策実践ガイド」を基に作成
【物理的管理策】7.4 物理的セキュリティの監視
| 管理策タイプ | 情報セキュリティ特性 | サイバーセキュリティ概念 | 運用機能 | セキュリティドメイン |
| #予防
#検知 |
#機密性
#完全性 #可用性 |
#防御
#検知 |
#物理的セキュリティ | #保護
#防御 |
| 管理策 | 施設は、認可されていない物理的アクセスについて継続的に監視することが望ましい。 |
| 目的 | 認可されていない物理的アクセスを検知し、抑止するため。 |
【技術的管理策】8.16 監視活動
| 管理策タイプ | 情報セキュリティ特性 | サイバーセキュリティ概念 | 運用機能 | セキュリティドメイン |
| #検知
#是正 |
#機密性
#完全性 #可用性 |
#検知
#対応 |
#情報セキュリティ事象管理 | #防御 |
| 管理策 | 情報セキュリティインシデントの可能性がある事象を評価するために、ネットワーク、システム及びアプリケーションについて異常な行動・動作がないか監視し、適切な処置を講じることが望ましい。 |
| 目的 | 異常な行動・動作及び潜在する情報セキュリティインシデントを検出するため。 |
(出典)MSQA「ISO/IEC 27002:2022 対応 情報セキュリティ管理策実践ガイド」を基に作成
管理策から自社に必要な対策を適用宣言書として選択して対策基準を作成し、実施手順を作成できるようにする手順を説明します。
● 管理策の決定:リスクアセスメントの結果を考慮して、適切なリスク対応を選定します。選定したリスク対応の選択肢に基づいて、実施に必要なすべての管理策を決定します。管理策は、ISO/IEC 27001の附属書Aから選択できます。附属書Aに適切な管理策がない場合は、独自に追加の管理策を選択できます。
● 管理策の検証:決定した管理策を、ISO/IEC 27001の付属書Aに規定された管理策と比較し、自社にとって必要な管理策が見落とされていないか検証します。
● 適用宣言書の作成:適用宣言書を作成します。適用宣言書とは、ISMSに関連してその組織が適用する管理策を記述した、文書化された情報のことです。適用宣言書に含める事項は以下の通りです。
▷ 必要な管理策
▷ それらの管理策を含めた理由
▷ それらの管理策を実施しているか否か
▷ 付属書Aに規定する管理策を除外した理由
● 実施手順の作成:管理策(対策基準)をもとに具体的な実施手順を作成します。実施手順は、組織の内部文書として作成します。従業員が具体的に何を順守して行動すればよいか理解できるよう、わかりやすく策定するよう心掛けることが大切です。