ISMSについて調べていくと、ISO/IEC 27001や27002のような規格の存在に気づきます。さらにISMSに取り組む際に、ISMS規格にある「管理策」の適用について検討する必要が出てきます。
ISMSの管理策について言及している規格は2つあり、それが「ISO/IEC 27001 附属書A」「ISO/IEC 27002」です。
今回は「ISO/IEC 27001 附属書A」「ISO/IEC 27002」の違いとそれぞれの内容、関係について紹介します。
また、ISMS認証取得をご検討中の方に向けて、ISMS認証取得が社内で決定して最初に検討すべき事項から審査を受けて認証取得に至るまでのすべてを23項目のTodoリストにいたしました。ぜひ本記事と併せてご活用ください。
ISO/IEC 27001とは
ISO/IEC 27001は保護すべき情報資産に対し、「機密性(Confidentiality)」「完全性(Integrity)」「可用性(Availability)」の3つを維持・改善する仕組みの構築を目的とした規格です。
日本では2002年にISMS認証制度が始まり、2005年にISO27001が発行されました。ISO/IEC 27001は「要求事項」「附属書A」の2部構成で、後半の「附属書A」に情報セキュリティに関する管理策が記載されています。
日本で個人情報保護法が施行されると、情報セキュリティ対策は企業にとり重要な経営課題になりました。そのため企業の間でISMS認証制度が次第に認知されるようになっています。
ISO/IEC 27002とは
ISO/IEC 27002とは、ISO/IEC 27001にある管理策の選定、実施、管理を含んだ「組織における情報セキュリティの標準」「情報セキュリティマネジメントの実施においてのベストプラクティス」をまとめた規格です。
当初ISO/IEC 17799として発行され、2007年7月に現行の27002に改番、国内規格としては2014年3月にJIS Q 27002が制定されています。
ISO27002には、ISO27001の附属書Aにある管理策の実施方法が具体的に記載されています。ISMS構築時にISO27002の諸事項を参照し、自社に適用するかを決定、組織内ルールに落とし込みます。
管理策とは
管理策とは、特定のリスクの低減を目的として行う対策のガイドラインを指します。ISO/IEC 27001では、10章にわたって規格が記載されています。それを成し遂げるための管理策として附属書Aが存在し、2022年の最新版においては、4カテゴリ全93管理策が提示されています。カテゴリは、下記4つです。
5.組織的管理策
6.人的管理策
7.物理的管理策
8.技術的管理策
ちなみに、旧版のISO27001規格では14章114項目あった管理策が上記4章93項目に減少していますが、構成変更や新規追加管理策で整理されたため、廃止になった管理策はありません。
ISO/IEC 27001 附属書Aと27002の関係性
まず、各規格に記載されている管理策の内容と、存在意義について簡単にまとめました。
| ISO/IEC 27001 附属書A | ISO/IEC 27002 | |
| 記載事項 |
|
|
| 存在意義 | 「組織のISMSルール」と「管理策の適用有無」の照合用要件記載(適用宣言書の作成) | 個々の管理策を実践するためのガイドライン |
ざっくりと理解するなら、ISO/IEC27001 附属書Aは管理策の要素を列挙し、各項目の対応漏れがないか確認するためのもの、ISO/IEC 27002は「リファレンスマニュアル」(詳細確認の参照用資料)と考えてよいでしょう。
関係性の詳細
実はISO/IEC 27001と27002に、互いの関係性について言及している箇所があります。
表 A.1 に規定した情報セキュリティ管理策は,ISO/IEC 27002:2022の箇条5~箇条8に規定したものをそのまま取り入れており,両者の整合が保たれている。
ISO/IEC 27001 附属書A、冒頭文
この文書は,全ての形態及び規模の組織を対象としている。これはISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)において,情報セキュリティリスク対応の管理策を決定し実施するための参考として用いる。
ISO/IEC 27002、0.1章 背景及び状況
上記と各規格の内容から、「ISO/IEC 27001 附属書A」に要件と管理策の骨子を記載し、認証規格としての役割を与えています。一方、模範運用の詳細がわかる「ISO/IEC 27002」は、ISMS構築時に各項目の細目を検討時の参照規格としての活用を想定しています。
管理策の概要と詳細をまとめて一つの規格にしなかった理由は、ボリュームが膨大になるためです。114ある管理策に対し、実施方法はおよそ1000近くにも上るため、2つの規格に分割されたのです。さらに言うと、組織の規模やリソース、環境によっては、すべてに対応することは現実的ではありません。あくまで、自社のリスクレベルにあった適切な運用をすればよいのです。
ISO/IEC 27002だけでは認証を受けられない
ISO/IEC 27002はISMSの認証規格ではないので、この規格に沿って管理策を策定・実践しただけではISMS認証を取得できません。ISO/IEC 27001のほうでISMSに関する要求事項(認証取得の要件)を定義しているため、認証取得にはISO/IEC 27001の規格要件を満たすことが必要です。
ISMS(情報セキュリティ・マネジメント・システム)は、情報セキュリティの仕組みの「計画」「導入」「監査/レビュー」「改善」(PDCA)の一連の工程を継続的に行うことで成立します。ISMSの認証取得は、こういった「ISMSの仕組み」と、個々の現場に「適用される管理策実行」の両輪が揃ってこそ可能になるのです。
ただ、ISMSで考慮すべき管理策は膨大なため、関係者の利便に供するため、便宜上ISO/IEC 27002の規格が策定されています。
ISO/IEC 27002の管理策の構成
最後に、ISO/IEC 27002の構成と内容の詳細を紹介します。ISO/IEC 27002の本編である管理策は、下記の内容を含んでいます。
- 箇条
- カテゴリ
- 目的
- 管理策
- 実施の手引
- 具体的な検討事項の列挙、例示
- 補足情報
- 関連情報
- 参照情報
- 27002の規格内の関連項目
- 他のシリーズ規格との関連
- 注記(例)
- 対象となる項目の特性
- セキュリティ対象の役割(種別や用途)
- 推奨される検討項目
- 参照情報
まず、管理策まではISO/IEC 27001と共通の内容です。ここで説明する実施の手引き、関連情報がISO/IEC 27002特有の情報になります。
実施の手引では、ITやセキュリティに不案内でも、一定のレベルを確保するため何を検討すべきかの情報が得られます。管理策で求められる検討事項が箇条書きで列挙、もしくは文章で例示されているからです。さらに補足説明したうえで、(たとえば「8.22 ネットワークの分離」では無線ネットワークの特性は境界が不定)必要な要素と対処の詳細が説明されることもあります。
関連情報では関係者の助けになる参照情報や、注記的な情報や事項が記載されています。
参照情報としては同規格や他のシリーズ規格の参照項目、追記情報の存在、法的な考慮の必要性等を示し、確認するよう促しています。
また、規格情報以外に、注記のような情報提供もあります。たとえば、「8.21 ネットワークサービスのセキュリティ」では、対象の特性を詳しく述べたうえで、推奨される検討項目を明記しています。ほかに、セキュリティ対象の用途を記載することで方向性を定め、効果的な策定を助けます。「5.14 情報転送」では、電子メッセージや物理的な情報の転送を「組織内及び外部の利害関係者との間で転送される情報」と定義しています。
まとめ
ISMSの管理策が記載された「ISO/IEC 27001 附属書A」「ISO/IEC 27002」の内容とその違い、関係性を紹介しました。ISO/IEC 27002に実施の手引きがあるとはいえ、表現が抽象的であったり読み解きにくい点が少なからずあります。対応方法や適用可否について迷うことがあれば、ぜひLRMにご相談ください。
また、ISMS認証取得をお考えの皆様に向けて、こちらの資料では、ISMS認証取得の始めの検討段階から審査当日までの一連の流れを23項目のチェックリストにいたしました。認証取得までの流れを抜け漏れなく把握していただくために、ぜひまずは無料でダウンロードしてお確かめください。
