【図解】ISMS 附属書A(ISO 27001:2005)とは?11領域・133の管理策を整理
情報セキュリティマネジメントシステム(ISMS)の構築において、最も実務的かつ具体的な指針となるのが「附属書A」に規定された管理策です。
しかし、規格書の条文だけでは各項目の関連性や全体像が把握しづらく、戸惑いを感じる担当者の方も少なくありません。そこで本記事では、ISO/IEC 27001:2005における附属書Aの管理策を、視覚的に理解しやすいビジュアル資料として図解しました。
この図解は、複雑な要求事項を直感的に整理できることから、多くの情報セキュリティ担当者の方々より「全体像がようやく腑に落ちた」「社内教育での説明がスムーズになった」と大変ご好評をいただいているものです。
セキュリティポリシーの策定から物理的対策、資産管理、アクセス制御に至るまで、多岐にわたる管理策がどのように体系化されているかを一目で確認いただけます。
現在は規格改訂が進んでいますが、ISMSが求める「網羅的なリスク対応」の考え方を学ぶための基礎資料として、また自社のセキュリティ体制を鳥瞰するためのツールとして、ぜひ本図解をお役立てください。
※画像クリックでpdf表示
133の管理策を関連性とともに図示した資料です。
A.5 セキュリティ基本方針
経営陣の方向性及び支持を、関連法令及び規則に従って規程する
A.5.1 情報セキュリティ基本方針
A.5.1.1 情報セキュリティ基本方針文書
A.5.1.2 情報セキュリティ基本方針のレビュー
A.6 情報セキュリティのための組織
A.6.1 内部組織
組織内の情報セキュリティを管理する
A.6.1.1 情報セキュリティに対する経営陣の責任
A.6.1.2 情報セキュリティの調整
A.6.1.3 情報セキュリティ責任の割当て
A.6.1.4 情報処理設備の認可プロセス
A.6.1.5 秘密保持契約
A.6.1.6 関係当局との連携
A.6.1.7 専門組織との連携
A.6.1.8 情報セキュリティの独立したレビュー
A.6.2 外部組織
外部組織に対するセキュリティを維持する
A.6.2.1 外部組織に関係したリスクの識別
A.6.2.2 顧客対応におけるセキュリティ
A.6.2.3 第三者との契約におけるセキュリティ
A.7 資産の管理
A.7.1 資産に対する責任
組織の資産を適切に保護及び維持する
A.7.1.1 資産目録
A.7.1.2 資産の保有者
A.7.1.3 資産利用の許容範囲
A.7.2 情報の分類
情報を適切なレベルで保護する
A.7.2.1 分類の指針
A.7.2.2 情報のラベル付け及び取扱い
A.8 人的資源のセキュリティ
A.8.1 雇用前
リスク低減のため、従業員、契約相手、第三者の利用者に責任と役割を理解させる
A.8.1.1 役割及び責任
A.8.1.2 選考
A.8.1.3 雇用条件
A.8.2 雇用期間中
従業員、契約相手、第三者の利用者における人による誤りのリスクを低減する
A.8.2.1 経営陣の責任
A.8.2.2 情報セキュリティの意識向上、教育及び訓練
A.8.2.3 懲戒手続
A.8.3 雇用の終了又は変更
従業員、契約相手、第三者の利用者の組織からの離脱、雇用変更に関し、所定の方法で行う
A.8.3.1 雇用の終了又は変更に関する責任
A.8.3.2 資産の返却
A.8.3.3 アクセス権の削除
A.9 物理的及び環境的セキュリティ
A.9.1 セキュリティを保つべき領域
施設及び情報への不許可アクセス、損傷、妨害を防止する
A.9.1.1 物理的セキュリティ境界
A.9.1.2 物理的入退管理策
A.9.1.3 オフィス、部屋及び施設のセキュリティ
A.9.1.4 外部及び環境の脅威から
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。
