ISO/IEC 27001 改正対応のポイント(管理策編:1/2) | 京都で働くコンサルタントのブログ
2013-11-16 06:52:05

ISO/IEC 27001 改正対応のポイント(管理策編:1/2)

テーマ:情報セキュリティマネジメント
皆さん、こんにちは。
(株)マネジメント総研の小山です。

前回に引き続き、「ISO/IEC 27001 改正対応のポイント」について、今回は、管理策(附属書A)の変更部分にスポットを当てて、お話します。

2005年版では5~15章、11分野、39目的、133管理策でしたが、
2013年版では5~18章、14分野、35目的、114管理策に再編されました。

2013年版(以降、「新版」と記します)の章立てをもとに、
2005年版(以降、「旧版」と記します)からの主な変更点を解説します。


A.5 情報セキュリティのための方針群
(管理目的:1、管理策:2)
・旧版「A.5 セキュリティ基本方針」と同じ構成です。
・ただし、「方針群」となり、情報セキュリティ基本方針だけでなく、
 アクセス制御、情報分類、バックアップ、個人情報保護、供給者関係
 などの個別方針も対象となりました。


A.6 情報セキュリティのための組織
(管理目的:2、管理策:7)
・旧版「A.6 情報セキュリティのための組織」が該当しますが、
 組織のマネジメントが及ぶ範囲の管理策に限定されました。
・そのため、旧版の管理目的は「内部組織」と「外部組織」の2つでしたが、
 新版では、「内部組織」と「モバイル機器及びテレワーキング」となり、
 旧版の「外部組織」は「A.15 供給者関係」に整理されました。
・また、新たに「プロジェクトマネジメントにおける情報セキュリティ
 という管理策が追加されました。


A.7 人的資源のセキュリティ
(管理目的:3、管理策:6)
・旧版「A.8 人的資源のセキュリティ」から一部整理されています。
・旧版「A.8.1.1 役割及び責任」は、組織における役割と責任に関する
 管理策のため、新版「A.6」に移されました。
・旧版「A.8.3.2 資産の返却」は、資産に関する管理策のため、
 新版「A.8 資産の管理」に移されました。
・旧版「A.8.3.3 アクセス権の削除」は、アクセス制御に関する管理策
 のため、新版「A.9 アクセス制御」に移されました。


A.8 資産の管理
(管理目的:3、管理策:10)
・旧版「A.7 資産の管理」に、旧版「A.10.7 媒体の取扱い」が
 取り込まれました。
・旧版「A.7.2.2 情報のラベル付け及び取扱い」は、新版では、
 実施主体をもとに、「情報のラベル付け」と「資産の取扱い」の
 2つに分けられました。


A.9 アクセス制御
(管理目的:4、管理策:14)
・旧版「A.11 アクセス制御」(管理目的:7、管理策:25)をもとに
 大幅に整理されました。
・旧版「A.11.4 ネットワークのアクセス制御」については、
 技術的事項を減らす方向で検討された結果、
 旧版「A.11.4.1 ネットワークサービスの利用についての方針」を存続し、
 そこから導出できる実施方法に当たる以下の管理策が削除されました。
  旧版「A.11.4.2 外部から接続する利用者の認証
  旧版「A.11.4.3 ネットワークにおける装置の識別
  旧版「A.11.4.4 遠隔診断用及び環境設定用ポートの保護
  旧版「A.11.4,6 ネットワークの接続制御
  旧版「A.11.4.7 ネットワークのルーティング制御
 (なお、ネットワークセキュリティの参考規格には、
  「ISO/IEC 27033,ネットワークセキュリティ 第1~5部」があります)
・旧版「A.11.5 オペレーティングシステムのアクセス制御」と
 「A.11.6 業務用ソフトウェア及び情報のアクセス制御」は、
 新版では「A.9.4 システム及びアプリケーションのアクセス制御
 として統合されました。
・旧版「A.11.5.5 セッションのタイムアウト」及び「A.11.5.6 接続時間
 の制限
」は、新版「A.9.4.2 セキュリティに配慮したログオン手順」に
 取り込まれました。
・また、旧版で用いられていた「パスワード」という用語は、秘密鍵など
 の手段も考慮され、「秘密認証情報」という用語に変更されました。


A.10 暗号
(管理目的:1、管理策:2)
・旧版では「A.12 情報システムの取得、開発及び保守」の中に
 置かれていましたが、情報システムの運用にも関係することから、
 独立した章として新設されました。
・内容は旧版「12.3 暗号による管理策」からほとんど変わっていません。


A.11 物理的及び環境的セキュリティ
(管理目的:2、管理策:15)
・旧版「A.11.3.2 無人状態にある利用者装置」及び「A.11.3.3 クリアデスク
 ・クリアスクリーン方針
」が取り込まれています。
・それ以外は旧版「A.9 物理的及び環境的セキュリティ」とほぼ同じです。


以上、14分野のうち7分野について解説いたしました。
今回はここまでとし、次回は「A.12」以降について解説したいと思います。



株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス