自社の価値を高めるISMS認証取得ガイド|ISMS楽トル » ISMSの基礎知識 » ISO27001(ISMS)と附属書A

ISO27001(ISMS)と附属書A

このページでは、ISO27001(ISMS)と付属書Aについて解説しています。ISMS用語や付属書Aの言葉は、慣れていないと難しいものですが、わかりにくい用語をできるだけ使わずポイントをお伝えします。

ISO27001(ISMS)附属書Aとは?

ISMSを運用するための規格「ISO27001(ISMS)」と管理策の包括的なリストである附属書A。ここでは附属書Aの概要と役割について解説しています。

附属書Aの概要

ISO27001(ISMS)規格の取得者・運用者は、この附属書Aの内容を参照し、必要な対策の見落としがないように求められます。

附属書Aをわかりやすく言えば「情報セキュリティ上のリスクを無くすためのISO27001(ISMS)には規格書があるので、それをもとに対策(構築)しましょう」といった対策ガイドラインのような位置付けのものです。

情報セキュリティ上のリスクを軽減するための管理目的と目的を達成するための管理策が示されており、大きく14の分類と、その下に35の管理目的、その目的を達成するための114項目という構成になっています。

附属書Aの役割

附属書Aの役割はISO27001(ISMS)を運用するために課せられた「しなければならないことリスト」であり、管理目的は「この項目を掲げる理由の説明」のようなものです。

初心者には言葉がわかりにくい部分もあり、意味を落とし込みづらい方も多いようですが、実際にISO27001(ISMS)取得にかかわった後で読んでみると、少し解るようになったという方もいます。とりあえずはISO27001(ISMS)の運用には「しなければならないこと」があり、それをもとに対策(構築)するということは念頭に置きましょう。

費用、期間、実績別
おすすめISMS認証コンサルはこちら

ISO/IEC 27001の附属書Aに記載された管理策とは?

情報セキュリティに関する管理策が記載されている附属書A。それぞれの管理策には、具体的な実施方法が記載されているため、自社に適用するように落とし込みます。ここでは、それぞれの概要について解説しています。

A.5 情報セキュリティのための方針群

この項目で注意しなければならないのは、情報セキュリティ方針「群」とされている点です。記載されている方針だけでも、モバイル機器の方針や暗号による管理策の利用方針などの6方針があり、こうした様々な方針「群」すべての管理が求められます。

また、記載されているものだけに限らないという点にも注意が必要です。例えば、近年増加しているSNSでは、不適切な書き込みにより業務に支障が生じたケースなどもあります。そのため、どのような書き込みを禁止するかなどの基本方針も定めておく必要がありそうです。

A.6 情報セキュリティのための組織

責任者と役割を決定し、不正アクセスやウイルス感染、サイバー攻撃や内部不正による情報漏洩などの情報セキュリティ事故が発生した場合の連絡先を明確にするための項目です。また、不正を防止するために職務権限の分離なども検討します。

A.7 人的資源のセキュリティ

組織のセキュリティレベルを維持するために、適切な人材を確保し、訓練などを行うことが望ましいとされる管理策です。ただし必須事項ではないため、実行されない場合もあります。

A.8 資産の管理

リスク管理のため、資産管理状況を確認できる目録を作成し、利用者の範囲やアクセス権、保管場所などを定める項目です。また、管理責任者は、資産が適切な方法で保管されているか、目録の内容は正確かなどの管理を行わなければなりません。

A.9 アクセス制御

アクセス制御に関しての方針を決定して文章化することを求める項目です。具体的には、複数の人が同じアカウントを共有することを禁止したり、不正が起きないよう利用状況を管理するなどのルールを定めます。また、入退室制限のような物理的な面での対策も考慮する必要があります。

A.10 暗号

暗号の利用に関する方針を定めることを求める項目です。組織内のシステムに対し、どんな暗号化方式を用いるのか、暗号の管理責任者は誰かなどを明確にします。

A.11 物理的及び環境的セキュリティ

組織内のコンピュータやサーバなどの装置やサーバールームといった、装置についての管理策が書かれている項目です。また、流出すると危険な情報を扱うエリアでは、適切な入退室管理を行うことはもちろん、自然災害や火災など、いつ発生するかわからない災害に備えることも重要です。

A.12 運用のセキュリティ

組織内のコンピュータやサーバなどを運用するときに必要な管理策が書かれている項目です。まず、手順書を作成し、変更管理や操作ログ、サーバの使用状況などを確認できるようにしましょう。

A.13 通信のセキュリティ

ネット上の不正アクセスなど、ネットワークについてのセキュリティ管理策が書かれている項目です。「ネットワークを管理し、制御しなければならない」とされており、社内のネットワークの状況を把握し、必要に応じてネットワークを制御できることが求められています。具体的な対策としては、ネットワーク機器の管理方法などのマニュアルを作成することやネットワーク全体のログを残すなどがあげられます。

A.14 システムの取得、開発及び保守

システム開発時における管理策が書かれている項目です。システム開発を行っている会社にとっては重要な項目ですが、システム開発をしない会社の場合は「適用除外」として、管理策の検討対象から外してしまうこともあるようです。

A.15 供給者管理

供給者(委託先)の管理を規定している項目です。この項目では、供給者(委託先)の管理について手順書などを作成することが求められており、自社の情報資産のセキュリティを確保するためのものです。

自社でどれだけセキュリティを完璧にしていても、供給者(委託先)からの情報漏洩などの事故が起こってしまえば、自社の情報資産がダメージを受けてしまいます。また、供給者(委託先)が無断で自社の情報資産にアクセスできないようにしておくことも大切です。

A.16 情報セキュリティインシデント管理

不正アクセスやウイルス感染、サイバー攻撃や内部不正による情報漏洩など、何らかの情報セキュリティインシデントが発生した場合、誰がどのように対処するかを定めておくことが求められている項目です。また、インシデントを再発させないためにどうすればよいのか、再発防止策を検討することも求められています。

A.17 事業継続マネジメントにおける情報セキュリティの側面

地震や水害などの自然災害や火事などで事業継続が困難な状況になった場合でも、被害を最小限に抑え、いかに事業継続ができるようにするかという考え方を示している項目です。

その目的は、情報セキュリティの面からもリスクを考え、障害や停止に備えて設備や機器を複数用意する、すぐ使える状態で待機させるなど、対応できるように準備しておきましょうということです。

A.18 順守

法令違反や契約違反など、決まりや法律に違反しないようにするために、法規制への順守が求められている項目です。ちなみに要求事項は「関連する法令、規制」となっているため、事業内容により、適用される法令やガイドラインがあれば確認し、事業に関連する法令、規制を特定しておく必要があります。

附属書Aが実施できない場合

附属書Aは、ISO27001(ISMS)を効率的に運用する上で参考にするものです。そのため、附属書Aに記載されている管理策を全て実施できなかったからといって、不適合になることはありません。

例えば、システム開発を行わない企業にとって、システム開発を行う上での管理策には全く関係のない内容も含まれています。このような場合は、業務上必要がないため適用を除外することができます。しかし、その多くはリスクアセスメントの結果、リスクとなり得るものばかりであるため、すべてを無視できるものでもありません。

まとめ

ISO27001(ISMS)取得には、情報セキュリティや情報資産全般に関する幅広い知識が必要です。また、多くの工程と時間も必要になります。そのため最近では、ISMS取得を支援してくれるコンサルティングを受けながら進めることも、ひとつの方法として認知されるようになってきました。

自社にある知識・ノウハウでは難しいと判断した際には、専門知識を有したコンサルタントに相談してみてはいかがでしょうか。

ISMS認証取得にかかる費用を見てみる

よく読まれるISMSの基礎知識ページ
目的別に選べる!
ISMS認証コンサルおすすめ3社
【コスト・対応力・運用重視】

ISMS(ISO27001)認証を取得する企業が増える中で、「自社のリソースが限られている」「取得したはいいが運用が続かない」といった課題を抱える企業は少なくありません。そこで重要になるのが、自社の状況に合ったコンサルティング会社の選定です。
ISMS認証コンサルを活用することで、「専門知識や担当者が不在でも取得を実現」「取得後も運用が続く“使える体制”を構築」といったメリットを得られます。
今回は、こうしたニーズに応えるISMS認証支援会社の中でも、「費用」「対応業種」「実務運用力」という観点に強みを持つ3社をご紹介します。

コストを抑えて手間なく
「まず取得したい」
なら
ISOサポート
ISOサポート
※引用元:ISOサポート公式HP(引用元:https://www.iso-sp.co.jp/2700.html )
特徴
  • 専任不要&月額3.3万円の低コスト
    情報セキュリティ担当がいなくても導入可能。人員・予算に限りがある中小・スタートアップ向け。
  • 中小企業向けフルアウトソーシング支援
    書類作成からプロセス設計まで丸ごと対応。初めての企業でも安心。
  • 維持運用しやすい実務重視の設計
    最小限の設計で、取得後も1名体制で継続しやすい。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
複雑な組織や業種にも
柔軟に対応
してほしいなら
ISOプロ
ISOプロ
※引用元:ISOプロ公式HP(https://activation-service.jp/iso/lp/)
特徴
  • 現役審査員が直接サポート&訪問無制限
    複雑な多拠点対応も、現場に即した導入設計が可能。
  • 業種特化・6か月以内の取得も相談可
    業界特有の運用にも対応し、スピード重視の企業にもおすすめ。
  • ISO事務局も代行し全工程を一括支援
    社内対応の手間を減らし、効率・品質を向上。
公式サイトで
サービスの詳細を確認
電話で問い合わせる
中小企業で
運用負担を削減
したいなら
ワークストラスト
ワークストラスト
※引用元:ワークストラスト公式HP(https://www.workstrust.com/)
特徴
  • 書類作成の負担が少ない
    提供される書類は全てサンプル付きで、確認・加筆修正を行うだけで活用できるため作業負担を大きく軽減。
  • 取得時も取得後も運用の負担が少ない
    負担の少ない運用を行うためには、管理すべき(作成すべき)書類は最小限に留めることが重要。
  •                          取得後は自社で維持、運用が可能
    必要最小限な運用が可能なため、自社だけでも準備が容易。
公式サイトで
サービスの詳細を確認
電話で問い合わせる