ISO/IEC 27001 改正対応のポイント(管理策編:2/2) | 京都で働くコンサルタントのブログ
2013-12-01 05:35:55

ISO/IEC 27001 改正対応のポイント(管理策編:2/2)

テーマ:情報セキュリティマネジメント
皆さん、こんにちは。
(株)マネジメント総研の小山です。

今回は、「ISO/IEC 27001 改正対応のポイント(管理策編)」の続きです。

「ISO/IEC 27001」はISMS認証の審査基準であり、
その附属書Aには、情報セキュリティの管理策が記載されています。

2005年版では11分野、39目的、133管理策でしたが、
2013年版では14分野、35目的、114管理策に再編されており、
前回は、「A.11」まで解説させていただきました。

今回は「A.12」以降について、
2013年版(以降、「新版」と記します)の章立てをもとに、
2005年版(以降、「旧版」と記します)からの主な変更点を解説します。


A.12 運用のセキュリティ
(管理目的:7、管理策:14)
・旧版「A.10 通信及び運用管理」が、通信と運用で分離され、
 運用部分が新版「A.12」となりました。
・ただし、旧版「A.10.2 第三者が提供するサービスの管理」は、
 新版「A.15 供給者管理」に移されました。
・また、旧版「A.10.7 媒体の取扱い」は、
 新版「A.8 資産の管理」に移されました。
・一方で、旧版「A.10 通信及び運用管理」以外の章から、
 以下の3つが取り込まれました。
  旧版「A.12.4.1 運用ソフトウェアの管理
  旧版「A.12.6 技術的ぜい弱性管理
  旧版「A.15.3 情報システムの監査に対する考慮事項


A.13 通信のセキュリティ
(管理目的:2、管理策:7)
・旧版「A.10 通信及び運用管理」の通信部分が該当します。
・ただし、旧版「A.10.9 電子商取引サービス」は、
 新版「A.14.1 情報システムのセキュリティ要求事項」に移されました。
・一方で、旧版「A.10 通信及び運用管理」以外の章から、
 以下の2つが取り込まれました。
  旧版「6.1.5 秘密保持契約
  旧版「11.4.5 ネットワークの領域分割


A.14 システムの取得、開発及び保守
(管理目的:3、管理策:13)
・旧版「A.12 情報システムの取得、開発及び保守」が該当します。
・旧版「A.12.5 開発及びサポートプロセスにおけるセキュリティ」は、
 新版では以下が追加されています。
  新版「A.14.2.1 セキュリティに配慮した開発のための方針
  新版「A.14.2.5 セキュリティに配慮したシステム構築の原則
  新版「A.14.2.6 セキュリティに配慮した開発環境
  新版「A.14.2.8 システムセキュリティの試験
・旧版「A.12.2 業務用ソフトウェアでの正確な処理」は、
 現在では体系的なセキュアプログラミングの要件の一部であり、
 新版では「A.14.2.5」に取り込まれたと考えられます。


A.15 供給者関係
(管理目的:2、管理策:5)
・旧版「A.6.2 外部組織」及び旧版「A.10.2 第三者が提供するサービスの
 管理」を供給者管理の視点で1つにまとめて、新設されました。
・外部委託、サプライチェーン等、外部の製品及びサービスの調達・利用に
 関する管理策がまとめられています。
・なお、参考規格には、以下があります。
  「ISO/IEC 27036(サプライヤ関係の情報セキュリティ)第1~3部


A.16 情報セキュリティインシデント管理
(管理目的:1、管理策:7)
・旧版「A.13 情報セキュリティインシデントの管理」が該当します。
・新版では以下の2つが追加されています。
  新版「A.16.1.4 情報セキュリティ事象の評価及び決定
  新版「A.16.1.5 情報セキュリティインシデントへの対応
・なお、参考規格には、以下があります。
  「ISO/IEC 27035(情報セキュリティインシデントマネジメント)


A.17 事業継続マネジメントにおける情報セキュリティの側面
(管理目的:2、管理策:4)
・旧版「A.14 事業継続管理」が該当します。
・旧版では、業務プロセスの保護と再会に重点が置かれ、これを支える
 ものとして、情報システムの継続的運用と回復がテーマでしたが、
 新版では、情報セキュリティ及び情報セキュリティマネジメントの
 継続と回復がテーマとなっています。
・新たに可用性確保の観点で、「A.17.2 冗長性」が追加されました。


A.18 順守
(管理目的:2、管理策:8)
・旧版「A.15 順守」が該当します。
・旧版「A.6.1.8 情報セキュリティの独立したレビュー」は、
 新版「A.18.2 情報セキュリティのレビュー」に移されています。


以上、旧版からの主な変更点について、ご参考になれば幸いです。



株式会社マネジメント総研さんをフォロー

ブログの更新情報が受け取れて、アクセスが簡単になります

Ameba人気のブログ

Amebaトピックス