ISO27001 COLUMNISO規格の知識コラム(ISO27001)
ISO27001 コラム
ISMSの構築や運用において「管理策」は欠かせない要素です。
管理策とは、ISO27001の附属書Aにまとめられた情報セキュリティリスクへの対策の一覧であり、自社のリスクに応じて取捨選択して導入します。
すべてを適用する必要はありませんが、審査では適用・除外の理由を明確に示すことが求められます。
本記事では、管理策の概要から要求事項との違い、附属書Aや適用宣言書との関係、選定と運用の実践方法までをわかりやすく解説します。
ISMSの管理策とは、ISO27001の附属書Aに記載された情報セキュリティ管理策のことです。
これは、情報セキュリティ上のリスクを低減または維持するための具体的な方策を示しています。
ただし、業務内容や認証範囲によっては、すべての管理策を適用できない場合もあります。
その場合は、審査時に適用しない理由を明確に説明することが求められます。
まず、ISO27001では管理策を4つの分類に整理しています。以下の図をご参照ください。
組織的管理策(約37件)
組織運営に関する対策。例:情報セキュリティ方針策定、委託先の管理、法令遵守など
人的管理策(約8件)
人の行動や関与に関する対策。例:セキュリティ教育、機密保持契約、テレワーク対応など
物理的管理策(約14件)
物理環境に対する対策。例:入退室管理、装置保守、媒体の保護など
技術的管理策(約34件)
システムや技術に関する対策。例:アクセス制御、暗号化、脆弱性対応、バックアップなど
管理策の件数や分類の再編は、2022年版規格の改定に伴うものです。
また、詳細な実施手法や補足的な視点は、以下の記事で解説しています。
ISMS(ISO/IEC27001)の2022年版規格改定について詳しく解説します!
管理策は、ISO27001の附属書Aに記載された全93項目の中から、自社の状況に応じて適用または除外を判断できます。ただし、適用しない場合は合理的な理由を明確に示す必要があります。
一方、要求事項はISO27001本体に記載されている10項目で、すべての組織が必ず対応しなければなりません。
管理策は「選択できる対策」、要求事項は「必ず満たすべき基準」という違いがあります。
附属書Aは、ISMSにおいて情報セキュリティのリスクを低減するための管理目的と管理策をまとめた一覧です。
2022年の改訂により内容が整理・統合され、より実践的な構成となりました。
附属書Aは、ISO27001の要求事項を満たすために参照すべき重要な指針であり、管理策の具体的な内容を確認する際に欠かせません。
見落としを防ぐためにも、定期的に参照・確認することが求められます。
ISO27001は、情報セキュリティマネジメントシステム(ISMS)の構築と運用に関する国際規格で、その附属書Aに管理策がリスト化されています。
ただし、実施の具体的な方法までは示されていません。そこで参考とするのがISO27002です。
ISO27002は、ISO27001の管理策をどのように実施すべきかを詳細に解説した手引きのような位置づけにあります。
適用宣言書とは、ISO27001の附属書Aにある管理策のうち、どれを適用し、どれを除外したのかを理由とともに明記した文書です。ISMS認証を取得する際に必須となる書類であり、外部に対して自社の情報セキュリティ対策を明確に示す役割を持ちます。
審査だけでなく、社内での運用指針としても重要です。
詳しくは以下の記事をご覧ください。
ISMSの適用宣言書とは?作成の手順・ポイント解説とサンプルを紹介
管理策の適用・除外を判断するには、附属書Aを基準に段階的なプロセスで進めることが重要です。
以下の図の流れに沿って、具体的な手順を順に解説します。
まずは、附属書Aに記載されている管理策の全体像を把握することから始めます。
管理策は「組織的」「人的」「物理的」「技術的」の4つのカテゴリに分かれており、それぞれに具体的な対策が示されています。これらの内容を確認し、自社の事業特性やリスク状況を踏まえて、どの領域を重点的に管理すべきか方針を決定します。全体像を理解することで、後の選定や除外判断がスムーズになります。
附属書Aの管理策は、自社の業務プロセスやリスク評価の結果に照らし合わせて、一つひとつ適用または除外を判断します。すべての管理策を実施する必要はありませんが、リスク低減につながるものは積極的に取り入れるのが基本です。実際には、業種や組織規模にかかわらず、全体の9割前後の管理策を運用しているケースが多く見られます。
重要なのは、自社に不要なものを除外する際に、合理的な理由を明確に示すことです。
管理策を導入する際は、なぜその管理策を採用したのかという導入理由を明確にしておくことが重要です。
同様に、除外する管理策についても、適用しない合理的な理由を明らかにしておく必要があります。
これらの内容は、後に作成する「適用宣言書」にも反映され、審査時の根拠資料となります。
詳しい作成手順は、以下の記事をご覧ください。
ISMSの適用宣言書とは?作成の手順・ポイント解説とサンプルを紹介
選定した管理策は、計画に基づいて実際の業務に導入します。
導入の際は、必要に応じて手順書や運用ルールを文書化し、誰が・どのように実施するのかを明確にしておくことが大切です。また、策定したルールを従業員に周知し、教育や研修を通じて理解を浸透させることで、管理策が形だけでなく実効性をもって運用されます。
導入後も定期的に見直しを行い、組織や環境の変化に応じて改善していくことが重要です。
ISMSの管理策は、情報セキュリティリスクを適切に低減・管理するための具体的な対策であり、附属書Aに整理されています。全93項目の中から自社に必要なものを選定し、適用・除外の理由を明確に示すことが求められます。
ISO27002を参考にしながら具体的な導入方法を検討し、文書化・周知・教育を通じて運用することで、ISMSの有効性を維持できます。
定期的な見直しと改善が、審査対応だけでなく、実践的なセキュリティ強化につながります。
SNSでシェアする
株式会社GCERTI-JAPANは
ISO審査機関です。
コラムの内容やISOに関することでお困りの際はお気軽にご相談ください。
ISO審査員がお答えします。
一審査員として、社会貢献ができるよう努めてまいります。 また、営業面ではお客様にとって、より良い提案ができるよう、お客様とのコミュニケーションを大事にしております。
お問い合わせはこちら
0800-888-0442
