ニュースレター
知っておきたい最新情報を毎月お届けいたします。
ISO/IEC 27001:2013(JIS Q 27001:2014)規格は以下の各セクション(箇条)と附属書で構成されています。
4 組織の状況 |
5 リーダーシップ |
6 計画 |
7 支援 |
8 運用 |
9 パフォーマンス評価 |
10 改善 |
ISO/IEC 27001規格は、組織の状況、ニーズに応じた、バランスのよい情報セキュリティの対策を計画、実施、維持、改善していくためのマネジメントシステムのフレームワーク(枠組み)を提供しています。
ISO/IEC 27001規格に記述されている要求事項の順序は、重要性や実施の順番(手順)を示すものではありません。
組織体制、業務プロセスに応じたISMSの構築、維持が求められています。
ISO/IEC 27001規格は、附属書Aにおいて情報セキュリティを確実にする具体的な管理目的と管理策を規定しています。
附属書Aには、以下の14の箇条、35カテゴリーの管理目的と114項目の管理策が設定されています。
A.5 情報セキュリティのための方針群 |
A.6 情報セキュリティのための組織 |
A.7 人的資源のセキュリティ |
A.8 資産の管理 |
A.9 アクセス制御 |
A.10 暗号 |
A.11 物理的及び環境的セキュリティ |
A.12 運用のセキュリティ |
A.13 通信のセキュリティ |
A.14 システムの取得、開発及び保守 |
A.15 供給者関係 |
A.16 情報セキュリティインシデント管理 |
A.17 事業継続マネジメントにおける情報セキュリティの側面 |
A.18 順守 |
附属書Aは、一般的に受け入れられている情報セキュリティの管理策の包括的なリストであり、管理策決定に際して参考情報として活用することが求められます。
具体的には、リスクアセスメントの結果を受け、リスクへの対応として、管理策を決定する際に、決定する管理策と附属書Aと比較することで、必要な管理策に見逃しがないことを確認します。附属書Aのすべての管理策を選択することは求められていませんが、除外する場合は、除外する理由を明確にする必要があります。