LRM株式会社が発信する情報セキュリティの専門マガジンISMSについて調べていくと、ISO/IEC27001や27002といった規格が存在することに気づくと思います。そして、ISMSの取り組みを行っていく際には、規格に記載された「管理策」の適用に関する検討を実施する必要が出てきます。
その管理策が記載されたものが今回のブログのタイトルにも登場する「ISO/IEC27001附属書A」と「ISO/IEC27002」なのですが、管理策について書かれた規格がなぜ2種類存在しているのでしょうか。
今回の記事では、それぞれの内容や違い、関係性について見ていきたいと思います。
管理策とは
管理策とは、あるリスクを低減するという目的のために行うべき対応の模範例のようなものです。
規格では、14のテーマのもとに、35の管理目的(何を成し遂げたいのか)が存在し、その目的のために114の管理策が用意されています。
例えば、「情報セキュリティのための組織(A.6)」というテーマのもとに「モバイル機器の利用やテレワークに関するセキュリティを確実にする(A.6.2)」という管理目的が存在し、達成の手段として「モバイル機器のルールの構築や対策をとる(A.6.2.1)」「テレワークのルールの構築や対策をとる(A.6.2.2)」といった管理策が存在しているというイメージです。
管理策の内容については、ブログ内で別途規格解説記事として用意していますので、ぜひそちらの記事もご参考いただければと思います。
そしてこの管理策は、自分たちのISMSに適用しているのかどうかと、適用した場合していない場合の理由について「適用宣言書」として文書化することが必須になります。
ISO/IEC27001附属書AとISO/IEC27002の関係性
ISO/IEC27001附属書A
まずISO/IEC27001附属書Aには、前項でも登場した「管理目的」とそのための「管理策」のみが記載されています。そして、この附属書Aを利用して自社のISMSルールと管理策の適用有無に関する照らし合わせを実施し、適用宣言書を作成することになります(詳しくはISO/IEC27001 6.1.3c,d項を参照)。
ISO/IEC27002
一方でISO/IEC27002には、管理目的と管理策に加え、各管理策の実施の手引きや関連情報についても記載されています。そのため、こちらの規格は、一つ一つの管理策について、実践するためのより具体的な方法論について記載されているというイメージになります。
関係性について
実はそれぞれの規格上に、関係性について言及しているところが存在するのでその点について見てみたいと思います。例えば附属書Aのはじめには、「27002に規定したものをそのまま取り入れており整合性が保たれている」といったような記載があります。一方で、27002の0.1章にも背景として、「27001に基づくISMSを実施するプロセスで、管理策を選定するための参考として用いる。又は、管理策を実施するための手引きとして用いることを意図している」といった記載があります。
上記や規格の内容から、ISO/IEC27001附属書AとISO/IEC27002の関係性としては、附属書Aの管理策を実際に適用するための具体的な実施内容などの模範例を参照する規格としてのISO/IEC27002という形で認識していただくとイメージしやすいのではないでしょうか。
おわりに
今回は、同じ管理策が記載されているISO/IEC27001附属書AとISO/IEC27002の違い・関係性についてみてきました。しかし、ISO/IEC27002上で実施の手引きなどが記載されているとはいえ、その中の表現も抽象的であったり読み解きづらい点が少なからず存在しており、ご自身で対応方法や適用の可否について判断することが困難なこともあるのではないかと存じます。
LRMでは、ISMSの構築・運用支援の際に、組織に合わせた管理策の適用・実施やルール作り等についてもご一緒に検討させていただきますので、お困りの際はぜひご相談ください。
