詳細管理策(付属書A)

lrmcorp
LRM株式会社 記事一覧
カテゴリー: ISMS/ISO27001,

付属書Aとは

付属書Aとは、ISMSの規格であるISO/IEC27001(2005年版)では、情報セキュリティリスクに対する
管理目的及び管理策(リスク対策)が、A5~A15までのカテゴリに分かれ、
133項目が明示されています。※2005年版では管理策は133項目です。
この管理策には、概要、組織が打つべき具体的な対策の指針が書かれています。

付属書Aの利用

ISO/IEC27001:4.2.1 g)には、リスク対応のための,管理目的及び管理策を選択する。
と記載され、リスク対応の方法として、「付属書Aの中から,特定した要求事項を満たす
ために適切なように,管理目的及び管理策を選択しなければならない。」と書かれています。

そのため、ISMS構築にあたり、リスク対応のために「付属書A」の中から選択して
対応しなければならないということになります。

管理策は選択制なので、適用しないという選択もできますが、
適用除外とした場合、適用除外とすることが正当である、客観的に見て
納得がいく理由がある必要がありますので、除外する場合は、
なぜ除外するのかをしっかり協議し、経営陣に対しても承認が必要です。

実施のタイミング

付属書Aの詳細管理策の実施のタイミングは、ISMSの構築する中で、
リスクアセスメントを実施しますが、そのリスクアセスメントをした結果、
情報資産に対する、脅威、脆弱性に対する対策を検討する際に活用します。

付属書Aに書かれていることを検討することはISMSを構築するプロセスの中で
非常に重要な部分になりますので、しっかり検討することが望まれます。

ISMSの構築における疑問、お悩みがあれば、弊社では無料相談サービスを実施しています。
会社様にあったご提案、回答をさせて頂きますので、是非ご利用ください。

詳細管理策(付属書A)

カテゴリー: ISMS/ISO27001

付属書Aとは

付属書Aとは、ISMSの規格であるISO/IEC27001(2005年版)では、情報セキュリティリスクに対する
管理目的及び管理策(リスク対策)が、A5~A15までのカテゴリに分かれ、
133項目が明示されています。※2005年版では管理策は133項目です。
この管理策には、概要、組織が打つべき具体的な対策の指針が書かれています。

付属書Aの利用

ISO/IEC27001:4.2.1 g)には、リスク対応のための,管理目的及び管理策を選択する。
と記載され、リスク対応の方法として、「付属書Aの中から,特定した要求事項を満たす
ために適切なように,管理目的及び管理策を選択しなければならない。」と書かれています。

そのため、ISMS構築にあたり、リスク対応のために「付属書A」の中から選択して
対応しなければならないということになります。

管理策は選択制なので、適用しないという選択もできますが、
適用除外とした場合、適用除外とすることが正当である、客観的に見て
納得がいく理由がある必要がありますので、除外する場合は、
なぜ除外するのかをしっかり協議し、経営陣に対しても承認が必要です。

実施のタイミング

付属書Aの詳細管理策の実施のタイミングは、ISMSの構築する中で、
リスクアセスメントを実施しますが、そのリスクアセスメントをした結果、
情報資産に対する、脅威、脆弱性に対する対策を検討する際に活用します。

付属書Aに書かれていることを検討することはISMSを構築するプロセスの中で
非常に重要な部分になりますので、しっかり検討することが望まれます。

ISMSの構築における疑問、お悩みがあれば、弊社では無料相談サービスを実施しています。
会社様にあったご提案、回答をさせて頂きますので、是非ご利用ください。

Author: LRM株式会社
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする