ISO27001(ISMS)と附属書A
このページでは、ISO27001(ISMS)と付属書Aについて解説しています。ISMS用語や付属書Aの言葉は、慣れていないと難しいものですが、わかりにくい用語をできるだけ使わずポイントをお伝えします。
ISO27001(ISMS)附属書Aとは?
ISMSを運用するための規格「ISO27001(ISMS)」と管理策の包括的なリストである附属書A。ここでは附属書Aの概要と役割について解説しています。
附属書Aの概要
ISO27001(ISMS)規格の取得者・運用者は、この附属書Aの内容を参照し、必要な対策の見落としがないように求められます。
附属書Aをわかりやすく言えば「情報セキュリティ上のリスクを無くすためのISO27001(ISMS)には規格書があるので、それをもとに対策(構築)しましょう」といった対策ガイドラインのような位置付けのものです。
情報セキュリティ上のリスクを軽減するための管理目的と目的を達成するための管理策が示されており、大きく14の分類と、その下に35の管理目的、その目的を達成するための114項目という構成になっています。
附属書Aの役割
附属書Aの役割はISO27001(ISMS)を運用するために課せられた「しなければならないことリスト」であり、管理目的は「この項目を掲げる理由の説明」のようなものです。
初心者には言葉がわかりにくい部分もあり、意味を落とし込みづらい方も多いようですが、実際にISO27001(ISMS)取得にかかわった後で読んでみると、少し解るようになったという方もいます。とりあえずはISO27001(ISMS)の運用には「しなければならないこと」があり、それをもとに対策(構築)するということは念頭に置きましょう。
ISO/IEC 27001の附属書Aに記載された管理策とは?
情報セキュリティに関する管理策が記載されている附属書A。それぞれの管理策には、具体的な実施方法が記載されているため、自社に適用するように落とし込みます。ここでは、それぞれの概要について解説しています。
A.5 情報セキュリティのための方針群
この項目で注意しなければならないのは、情報セキュリティ方針「群」とされている点です。記載されている方針だけでも、モバイル機器の方針や暗号による管理策の利用方針などの6方針があり、こうした様々な方針「群」すべての管理が求められます。
また、記載されているものだけに限らないという点にも注意が必要です。例えば、近年増加しているSNSでは、不適切な書き込みにより業務に支障が生じたケースなどもあります。そのため、どのような書き込みを禁止するかなどの基本方針も定めておく必要がありそうです。
A.6 情報セキュリティのための組織
責任者と役割を決定し、不正アクセスやウイルス感染、サイバー攻撃や内部不正による情報漏洩などの情報セキュリティ事故が発生した場合の連絡先を明確にするための項目です。また、不正を防止するために職務権限の分離なども検討します。
A.7 人的資源のセキュリティ
組織のセキュリティレベルを維持するために、適切な人材を確保し、訓練などを行うことが望ましいとされる管理策です。ただし必須事項ではないため、実行されない場合もあります。
A.8 資産の管理
リスク管理のため、資産管理状況を確認できる目録を作成し、利用者の範囲やアクセス権、保管場所などを定める項目です。また、管理責任者は、資産が適切な方法で保管されているか、目録の内容は正確かなどの管理を行わなければなりません。
A.9 アクセス制御
アクセス制御に関しての方針を決定して文章化することを求める項目です。具体的には、複数の人が同じアカウントを共有することを禁止したり、不正が起きないよう利用状況を管理するなどのルールを定めます。また、入退室制限のような物理的な面での対策も考慮する必要があります。
A.10 暗号
暗号の利用に関する方針を定めることを求める項目です。組織内のシステムに対し、どんな暗号化方式を用いるのか、暗号の管理責任者は誰かなどを明確にします。
A.11 物理的及び環境的セキュリティ
組織内のコンピュータやサーバなどの装置やサーバールームといった、装置についての管理策が書かれている項目です。また、流出すると危険な情報を扱うエリアでは、適切な入退室管理を行うことはもちろん、自然災害や火災など、いつ発生するかわからない災害に備えることも重要です。
A.12 運用のセキュリティ
組織内のコンピュータやサーバなどを運用するときに必要な管理策が書かれている項目です。まず、手順書を作成し、変更管理や操作ログ、サーバの使用状況などを確認できるようにしましょう。
A.13 通信のセキュリティ
ネット上の不正アクセスなど、ネットワークについてのセキュリティ管理策が書かれている項目です。「ネットワークを管理し、制御しなければならない」とされており、社内のネットワークの状況を把握し、必要に応じてネットワークを制御できることが求められています。具体的な対策としては、ネットワーク機器の管理方法などのマニュアルを作成することやネットワーク全体のログを残すなどがあげられます。
A.14 システムの取得、開発及び保守
システム開発時における管理策が書かれている項目です。システム開発を行っている会社にとっては重要な項目ですが、システム開発をしない会社の場合は「適用除外」として、管理策の検討対象から外してしまうこともあるようです。
A.15 供給者管理
供給者(委託先)の管理を規定している項目です。この項目では、供給者(委託先)の管理について手順書などを作成することが求められており、自社の情報資産のセキュリティを確保するためのものです。
自社でどれだけセキュリティを完璧にしていても、供給者(委託先)からの情報漏洩などの事故が起こってしまえば、自社の情報資産がダメージを受けてしまいます。また、供給者(委託先)が無断で自社の情報資産にアクセスできないようにしておくことも大切です。
A.16 情報セキュリティインシデント管理
不正アクセスやウイルス感染、サイバー攻撃や内部不正による情報漏洩など、何らかの情報セキュリティインシデントが発生した場合、誰がどのように対処するかを定めておくことが求められている項目です。また、インシデントを再発させないためにどうすればよいのか、再発防止策を検討することも求められています。
A.17 事業継続マネジメントにおける情報セキュリティの側面
地震や水害などの自然災害や火事などで事業継続が困難な状況になった場合でも、被害を最小限に抑え、いかに事業継続ができるようにするかという考え方を示している項目です。
その目的は、情報セキュリティの面からもリスクを考え、障害や停止に備えて設備や機器を複数用意する、すぐ使える状態で待機させるなど、対応できるように準備しておきましょうということです。
A.18 順守
法令違反や契約違反など、決まりや法律に違反しないようにするために、法規制への順守が求められている項目です。ちなみに要求事項は「関連する法令、規制」となっているため、事業内容により、適用される法令やガイドラインがあれば確認し、事業に関連する法令、規制を特定しておく必要があります。
附属書Aが実施できない場合
附属書Aは、ISO27001(ISMS)を効率的に運用する上で参考にするものです。そのため、附属書Aに記載されている管理策を全て実施できなかったからといって、不適合になることはありません。
例えば、システム開発を行わない企業にとって、システム開発を行う上での管理策には全く関係のない内容も含まれています。このような場合は、業務上必要がないため適用を除外することができます。しかし、その多くはリスクアセスメントの結果、リスクとなり得るものばかりであるため、すべてを無視できるものでもありません。
まとめ
ISO27001(ISMS)取得には、情報セキュリティや情報資産全般に関する幅広い知識が必要です。また、多くの工程と時間も必要になります。そのため最近では、ISMS取得を支援してくれるコンサルティングを受けながら進めることも、ひとつの方法として認知されるようになってきました。
自社にある知識・ノウハウでは難しいと判断した際には、専門知識を有したコンサルタントに相談してみてはいかがでしょうか。
ISMS認証コンサル
ISMS認証コンサルを選ぶ際、選ぶポイントは大きく「費用」「対応業種」の2つに分かれます。無駄なコストをかけないためにも、自社の目的に応じたISMSを得意とするコンサルティング会社を選ぶようにしましょう。ここでは2024年1月24日に「ISMS認証コンサル」で検索し表示されたコンサルティング会社のうち、ISMS認証取得のコンサルティングを主業務とする企業の中から、ISMS(ISO27001)の審査通過率が100%で、支援実績数が1,000件以上(調査時点)ある2社をご紹介します。
で選ぶなら

- 業界最安値※13.3万円/月
- 実働不要フルアウトソーシング
- 取得後も負担がない運⽤サポート
で選ぶなら

- 幅広い業種への対応実績
- 企業実態に合わせたISO取得
- 顧客の工数を約80%カット
ISOサポート | ISOプロ | |
---|---|---|
費用 | 月額3.3万円 (税込) |
月額4.4万円 (税込) |
期間 | 通常6か月 | 通常6~7か月 |
支援実績 | 1,450社 | 1,500件超 |
継続率 | 97% | 90.8% |
【選定基準】
※2024年1月24時点、Google検索において「ISMS認証コンサル」と検索して検索結果100位までに表示された企業のうち、ISMS(ISO27001)認証取得コンサルティング業務を行っている会社の中から、ISMS(ISO27001)の審査通過率が100%で、今回の調査時点で支援実績数が1,000以上であることが記載されている企業。