2005年版の詳細管理策は、以下のようにA.5からA.15まで11の領域/分類(管理目的:39個、管理策:133個)がありました。
これらの詳細管理策を採用するか否かを適用宣言書で明確に記述するようになっていました。
ISO27001:2005 管理策 |
A.5 セキュリティ基本方針 |
A.6 情報セキュリティのための組織 |
A.7 資産の管理 |
A.8 人的資源のセキュリティ |
A.9 物理的及び環境的セキュリティ |
A.10 通信及び運用管理 |
A.11 アクセス制御 |
A.12 情報システムの取得、開発及び保守 |
A.13 情報セキュリティインシデントの管理 |
A.14 事業継続管理 |
A.15 コンプライアンス |
これが2013年版では、管理策の数が、2005 年の 133 から 114 になりました。(下記)
ISO27001:2013 管理策 |
A.5 セキュリティ基本方針 |
A.6 情報セキュリティのための組織 |
A.7 人的資源セキュリティ |
A.8 資産管理 |
A.9 アクセス制御 |
A.10 暗号化 |
A.11 物理的及び環境的セキュリティ |
A.12 運用管理 |
A.13 通信のセキュリティ |
A.14 システムの取得、開発及び保守 |
A.15 供給者管理 |
A.16 情報セキュリティインシデント管理 |
A.17 事業継続管理規の情報セキュリティの側面 |
A.18 順守 |
これからシステム構築をされる組織は事前のチェックとして、次のチェックをしてみるとよいでしょう。
- 物理的・環境的側面のチェック(出入口やパーティションなど)
- オフィスセキュリティ面でのセキュリテイゾーンのチェック(オフィスレイアウト図)
- ネットワーク環境のチェック(ネットワーク図)
- 情報管理に関するコンプライアンス上のチェック(ソフトウェアライセンスなど)
- 新規システム構築または更新の検討
- 関連する過去のセキュリティ事件・事故
- セキュリティ組織の編成
- システム導入・運用
システム導入運用にあたり社員教育を実施する。初回構築時におけるPDCAの運用であるDoは、初めての取り組みとなるため、開始時は特に「試行」的な運用として、試行錯誤を繰り返しながらシステム運用を確立していくことになる。そのため、取得期限などを加味しながらも出来る限り長い期間を取って、定められた規則や手続きに従い、各人の役割を確かめながら進めていくことが肝要となる。
次にISO27001規格に基づき、運用状況を点検、評価する内部監査を実施する。内部監査において指摘された事項、日々の事件・事故報告、また情報セキュリティに関する利害関係者からの報告事項などをもとに是正処置及び予防処置を実施する。
内部監査結果などのインプット情報を収集してマネジメントレビューを実施する。