詳細管理策(附属書A)

この記事は約2分で読めます。

付属書Aとは

付属書Aとは、ISMSの規格であるISO/IEC27001(2005年版)では、情報セキュリティリスクに対する管理目的及び管理策(リスク対策)が、A5~A15までのカテゴリに分かれ、133項目が明示されています。
※2005年版では管理策は133項目です。

この管理策には、概要、組織が打つべき具体的な対策の指針が書かれています。

付属書Aの利用

ISO/IEC27001:4.2.1 g)には、「リスク対応のための,管理目的及び管理策を選択する。」と記載され、リスク対応の方法として、「付属書Aの中から,特定した要求事項を満たすために適切なように,管理目的及び管理策を選択しなければならない。」と書かれています。

そのため、ISMS構築にあたり、リスク対応のために「付属書A」の中から選択して対応しなければならないということになります。

管理策は選択制なので、適用しないという選択もできますが、適用除外とした場合、適用除外とすることが正当であり、客観的に見て納得がいく理由がある必要がありますので、除外する場合は、なぜ除外するのかをしっかり協議し、経営陣に対しても承認が必要です。

実施のタイミング

付属書Aの詳細管理策の実施のタイミングは、ISMSの構築する中で、リスクアセスメントを実施しますが、そのリスクアセスメントをした結果、情報資産に対する、脅威、脆弱性に対する対策を検討する際に活用します。

付属書Aに書かれていることを検討することはISMSを構築するプロセスの中で非常に重要な部分になりますので、しっかり検討することが望まれます。

ISMSの構築における疑問、お悩みがあれば、LRMでは無料相談サービスを実施しています。
会社様にあったご提案、回答をさせて頂きますので、是非ご利用ください。

ISMS / ISO27001認証取得を目指すリスクマネジメント
タイトルとURLをコピーしました