ISMSについて調べていくと、ISO/IEC 27001や27002のような規格の存在に気づきます。さらにISMSに取り組む際に、ISMS規格にある「管理策」の適用について検討する必要が出てきます。
ISMSの管理策について言及している規格は2つあり、それが「ISO/IEC 27001 附属書A」「ISO/IEC 27002」です。
今回は「ISO/IEC 27001 附属書A」「ISO/IEC 27002」の違いとそれぞれの内容、関係について紹介します。
メール相談し放題! 柔軟・多彩なサポート内容!
ISO/IEC 27001とは
ISO/IEC 27001は保護すべき情報資産に対し、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つを維持・改善する仕組みの構築を目的とした規格です。
日本では2002年にISMS認証制度が始まり、2005年にISO27001が発行されました。ISO/IEC 27001は「要求事項」「附属書A」の2部構成で、後半の「附属書A」に情報セキュリティに関する管理策が記載されています。
日本で個人情報保護法が施行されると、情報セキュリティ対策は企業にとり重要な経営課題になりました。そのため企業の間でISMS認証制度が次第に認知されるようになっています。
ISO/IEC 27002とは
ISO/IEC 27002とは、ISO/IEC 27001にある管理策の選定、実施、管理を含んだ「組織における情報セキュリティの標準」「情報セキュリティマネジメントの実施においてのベストプラクティス」をまとめた規格です。
当初ISO/IEC 17799として発行され、2007年7月に現行の27002に改番、国内規格としては2014年3月にJIS Q 27002が制定されています。
ISO27002には、ISO27001の附属書Aにある管理策の実施方法が具体的に記載されています。ISMS構築時にISO27002の諸事項を参照し、自社に適用するかを決定、組織内ルールに落とし込みます。
管理策とは
管理策とは、特定のリスクの低減を目的として行う対策のガイドラインを指します。ISO/IEC 27001と27002の2つの規格には14のテーマを設け、35個の管理目的(成し遂げたいこと)を提示、114の管理策(達成手段)が用意されています。
【例】
- テーマ
(A.6) 情報セキュリティのための組織 - 管理目的
(A.6.2) モバイル機器利用やテレワークでの確実なセキュリティ - 達成手段
(A.6.2.1)モバイル機器のルールの構築と対策
(A.6.2.2)テレワークのルールの構築と対策
管理策の詳しい内容は、別途LRMのブログ(「規格解説」のテーマ)にて記事をご用意しています。よろしければぜひご覧ください。
これらの管理策について、自組織のISMSへの適用可否、また適用・適用除外の理由を「適用宣言書」として文書化することが課せられています。
ISO/IEC 27001 附属書Aと27002の関係性
まず、各規格に記載されている管理策の内容と、存在意義について簡単にまとめました。
| ISO/IEC 27001 附属書A | ISO/IEC 27002 | |
| 記載事項 |
|
|
| 存在意義 | 「組織のISMSルール」と「管理策の適用有無」の照合用要件記載(適用宣言書の作成) | 個々の管理策を実践するためのガイドライン |
ざっくりと理解するなら、ISO/IEC27001 附属書Aは管理策の要素を列挙し、各項目の対応漏れがないか確認するためのもの、ISO/IEC 27002は「リファレンスマニュアル」(詳細確認の参照用資料)と考えてよいでしょう。
関係性の詳細
実はISO/IEC 27001と27002に、互いの関係性について言及している箇所があります。
27002:2014(版)の箇条5〜箇条18に規定したものをそのまま取り入れており、両者の整合が保たれている。
ISO/IEC 27001 附属書A、冒頭文
27001に基づく(中略)ISMSを実施するプロセスにおいて、管理策を選定するための参考として用いる、又は(中略)管理策を実施するための手引として用いることを意図している。
ISO/IEC 27002、0.1章 背景及び状況
上記と各規格の内容から、「ISO/IEC 27001 附属書A」に要件と管理策の骨子を記載し、認証規格としての役割を与えています。一方、模範運用の詳細がわかる「ISO/IEC 27002」は、ISMS構築時に各項目の細目を検討時の参照規格としての活用を想定しています。
管理策の概要と詳細をまとめて一つの規格にしなかった理由は、ボリュームが膨大になるためです。114ある管理策に対し、実施方法はおよそ1000近くにも上るため、2つの規格に分割されたのです。さらに言うと、組織の規模やリソース、環境によっては、すべてに対応することは現実的ではありません。あくまで、自社のリスクレベルにあった適切な運用をすればよいのです。
ISO/IEC 27002だけでは認証を受けられない
ISO/IEC 27002はISMSの認証規格ではないので、この規格に沿って管理策を策定・実践しただけではISMS認証を取得できません。ISO/IEC 27001のほうでISMSに関する要求事項(認証取得の要件)を定義しているため、認証取得にはISO/IEC 27001の規格要件を満たすことが必要です。
ISMS(情報セキュリティ・マネジメント・システム)は、情報セキュリティの仕組みの「計画」「導入」「監査/レビュー」「改善」(PDCA)の一連の工程を継続的に行うことで成立します。ISMSの認証取得は、こういった「ISMSの仕組み」と、個々の現場に「適用される管理策実行」の両輪が揃ってこそ可能になるのです。
ただ、ISMSで考慮すべき管理策は膨大なため、関係者の利便に供するため、便宜上ISO/IEC 27002の規格が策定されています。
ISO/IEC 27002の管理策の構成
最後に、ISO/IEC 27002の構成と内容の詳細を紹介します。ここでは、昨今のテレワークでクローズアップされがちな「13 通信のセキュリティ」の内容を例に説明しています。
ISO/IEC 27002の本編である管理策の構成は以下のとおりです。
- 箇条
- カテゴリ
- 目的
- 管理策
- 実施の手引
- 具体的な検討事項の列挙、例示
- 補足情報
- 関連情報
- 参照情報
- 27002の規格内の関連項目
- 他のシリーズ規格との関連
- 注記(例)
- 対象となる項目の特性
- セキュリティ対象の役割(種別や用途)
- 推奨される検討項目
- 参照情報
まず、AからDまではISO/IEC 27001と共通の内容です。ここで説明する「E 実施の手引」「F 関連情報」がISO/IEC 27002特有の情報になります。
「実施の手引」では、ITやセキュリティに不案内でも、一定のレベルを確保するため何を検討すべきかの情報が得られます。管理策で求められる検討事項が箇条書きで列挙、もしくは文章で例示されているからです。さらに補足説明したうえで、(たとえば「13.1.3 ネットワークの分離」では無線ネットワークの特性は境界が不定)必要な要素と対処の詳細が説明されることもあります。
「関連情報」では関係者の助けになる参照情報や、注記的な情報や事項が記載されています。
参照情報としては同規格や他のシリーズ規格の参照項目、追記情報の存在、法的な考慮の必要性等を示し、確認するよう促しています。
また、規格情報以外に、注記のような情報提供もあります。たとえば、「13.1.2 ネットワークサービスのセキュリティ」では、対象の特性を詳しく述べたうえで、推奨される検討項目を明記しています。ほかに、セキュリティ対象の用途を記載することで方向性を定め、効果的な策定を助けます。「13.2.3 電子的メッセージ通信」では、電子メッセージ類を「業務上のコミュニケーション」と定義しています。
まとめ
ISMSの管理策が記載された「ISO/IEC 27001 附属書A」「ISO/IEC 27002」の内容とその違い、関係性を紹介しました。ISO/IEC 27002に実施の手引きがあるとはいえ、表現が抽象的であったり読み解きにくい点が少なからずあります。対応方法や適用可否について迷うことがあれば、ぜひLRMにご相談ください。
弊社では、 定額制ISMS/Pマーク認証運用ご支援サービスを行っております。メール相談し放題、多彩なサポート内容、貴社でしっかり「運用できる」ISMS/Pマークをお約束いたします。まずはお気軽に無料でご相談ください。
