ISMSにおいて、ライセンス管理番号の台帳でインストール管理を兼ねることは可能ですか?
ISMS-B11-D07 ソフトウェアインストール管理表について教えてください。
ISMS-B11-D07 ソフトウェアインストール管理表はソフトウェア管理番号「XXXX」は、ハードウェア管理番号「YYYY」と「ZZZZ」をインストールしているということを管理する表だと認識しました。
同様の表としてISMS-B14-D03 ライセンス管理台帳のシート「ライセンス管理(詳細)」があり、現在こちらを使ってライセンス管理番号「1111」は端末「〇〇〇」「△△△」にインストールしていることを管理しているのでISMS-B11-D07 ソフトウェアインストール管理表の代わりにこちらを使ってかまわないでしょうか?
結論から申し上げますと、「どの端末に何のソフトウェアが導入されているか」が網羅的に管理できているのであれば、ご提案の通り「ライセンス管理台帳」に一本化して運用いただいて問題ございません。
ご質問に関しては、JISQ27001:2023の附属書Aに新たに追加された管理策「8.9構成管理」に関するものとなります。
こちらは、ハードウェア、ソフトウェア、サービス、ネットワークが、必要なセキュリティ設定により正しく機能し、『不正な変更により構成が変更されないようにするため』の管理策となっています。
それぞれの構成が管理できるようであれば、ご質問の「ライセンス管理(詳細)」でも構いません。
1. 新管理策「8.9 構成管理」の目的
新規格(2023年版)で追加された「8.9 構成管理」は、ハードウェア、ソフトウェア、ネットワーク等の構成を把握し、「不正な変更が行われていないか」「正しい設定が維持されているか」を管理することを目的としています。
この管理策において重要なのは「帳票の形式」ではなく、「資産同士の紐付け(構成)」が正確に可視化されていることです。
2. 帳票を統合する際の留意点
「どの端末に何のソフトウェアが導入されているか」が網羅的に管理できているのであれば、「ライセンス管理台帳」に一本化して運用いただいて問題ございません。
「ライセンス管理台帳」を代替として使用する場合、以下の状態が維持されているかをご確認ください。
- 紐付けの整合性:
ライセンス(ソフト)に対して、インストール先の端末(ハード)が漏れなく記録されていること。 - 変更の妥当性:
インストール状況の更新が、組織のルールに沿った「承認された変更」であることを後から確認できること。
3. 実務上のアドバイス
ISMSの運用では、管理策ごとに個別の帳票を作成するよりも、実務に合わせて情報を集約する方が転記ミスを防ぎ、メンテナンス性を高められるため有効です。
「どの端末で何が動いているか」が一元管理されていれば、それがそのまま審査における「構成管理」の証跡として認められます。
以上、ご参考ください。
執筆・監修:ISM Web store カスタマーサポート
ISMS、プライバシーマーク、ISO9001に必要な文書及び社員教育用テキストの販売及び無料メールサポートにて、25年以上にわたり取得支援しています。当商品をご利用頂いていない方にも、無料にてメール対応させていただいております。
