QCプラネッツ

カテゴリー: 情報セキュリティ

  • 【重要】ISO27001 2022要求事項がわかる

    【重要】ISO27001 2022要求事項がわかる

    本記事のテーマ

    ISO27001 2022要求事項がわかる!
    ISO9001 2015と比較しながら
    ISO27001 2022の要求事項を学びましょう。
    • ① ISO9001 2015と比較してISO27001 2022を学ぶ
    • ② ISO9001 2015要求事項を復習
    • ③ ISO27001要求事項を学ぶポイント

    ① ISO9001 2015と比較してISO27001 2022を学ぶ

    マネジメントシステムは共通要素が多い

    (JQA引用 https://www.jqa.jp/service_list/management/iso_info/iso_network/vol26/article01/)

    実は、

    どちらもマネジメントシステムなので
    ほとんど内容が同じ

    極端に言えば、ISO9001 2015をマスターしていれば、他のマネジメントシステムもそれなりにできてしまう。

    なので、

    マネジメントシステムのベースである
    ISO9001 2015を軸にISO27001 2022を
    学ぶと、わかりやすいし、
    両方の要求事項が手に入る!

    ISO9001 2015とISO27001 2022の要求事項を比較

    ISO9001 2015とISO27001 2022の要求事項を比較しましょう。下表のとおりです。

    要求事項 ISO9001 2015 ISO27001
    1 適用範囲 適用範囲
    2 引用規格 引用規格
    3 用語及び定義 用語及び定義
    4 組織の状況 組織の状況
    4.1 組織及びその状況の理解 組織及びその状況の理解
    4.2 利害関係者のニーズ及び期待の理解 利害関係者のニーズ及び期待の理解
    4.3 品質マネジメントシステムの適用範囲の決定 情報セキュリティマネジメントシステムの適用範囲の決定
    4.4 品質マネジメントシステム及びそのプロセス 情報セキュリティマネジメントシステム
    5 リーダシップ リーダシップ
    5.1 リーダシップ及びコミットメント リーダシップ及びコミットメント
    5.2 方針 方針
    5.3 組織の役割、責任及び権限 組織の役割、責任及び権限
    6 計画 計画策定
    6.1 リスク及び機会への取組み リスク及び機会に対する活動
    6.1.2 情報セキュリティリスクアセスメント
    6.1.3 情報セキュリティリスク対応
    6.2 品質目標及びそれを達成するための計画策定 情報セキュリティ目的及びそれを達成するための計画策定
    6.3 変更の計画 変更の計画策定
    7 支援 支援
    7.1 資源 資源
    7.2 力量 力量
    7.3 認識 認識
    7.4 コミュニケーション コミュニケーション
    7.5 文書化した情報 文書化した情報
    8 運用 運用
    8.1 運用の計画及び管理 運用の計画策定及び管理
    8.2 製品及びサービスに関する要求事項 情報セキュリティリスクアセスメント
    8.3 製品及びサービスの設計・開発 情報セキュリティリスク対応
    8.4 外部から提供されるプロセス、製品及びサービスの管理
    8.5 製造及びサービス提供
    8.6 製品及びサービスのリリース
    8.7 不適合なアウトプットの管理
    9 パフォーマンス評価 パフォーマンス評価
    9.1 監視、測定、分析及び評価 監視、測定、分析及び評価
    9.2 内部監査 内部監査
    9.3 マネジメントレビュー マネジメントレビュー
    10 改善 改善
    10.1 一般 継続的改善
    10.2 不適合及び是正処置 不適合及び是正処置
    10.3 継続的改善
    附属書A 管理策(93個)
    黄色枠がISO9001とISO27001の相違点です。それ以外は同じ要求事項であることがわかりますね。

    要求事項の相違点

    1. ISO9001は品質目標、ISO27001はリスクアセスメントが中心である点
    2. ISO9001の「8.運用」はプロセスごとに要求事項が異なるが、ISO27001は全プロセス統合している点
    3. ISO9001は管理策には要求事項はないが、ISO27001は93個の管理策も要求事

    3点だけ違うことがわかれば、ISO9001からISO27001へと習得するのが効率がよいと言えます。

    ISO9001とISO27001のさらなる相違点

    要求事項は大きく3点異なることを解説しました。その他、ISOを組織に運営する中で、気にかけておくべき相違点を解説します。

    相違点

    両者の要求事項を運用していくと、以下の違いがあります。

    項目 ISO9001 2015 ISO27001
    原則 リスク低減も機会向上とマイナス面もプラス面も見る リスク低減のみ(マイナス面のみ
    要求事項 運用(プロセス)によって箇条4~10で除外してよいものがある。 汎用的であり、箇条4~10のいかなる要求事項も除外できない
    中心軸 品質目標が中心 情報セキュリティ目標よりリスクアセスメントが軸
    目標項目 数値目標が立てやすい(顧客満足、教育、品質トラブル、品質コスト) 数値目標が立てにくい(事故件数、教育受講率くらいしかない)

    大事なのは、

    ISO9001 2015も
    ISO27001 2022も
    解決すべき課題・リスクをコントロールして
    あなたの組織のあるべき姿・目標に向かうことです。

    そして、

    ISO9001 2015と
    ISO27001 2022は
    共通要素を最初に理解して、
    個別の個性を知っていくことです。

    ISO9001(QMS)もISO27001(ISMS)も両方マスターしましょう。

    ② ISO9001 2015要求事項を復習

    ISO27001のベースとなるISO9001を先に習得しよう!

    QCプラネッツはソフトウェアが苦手だからかもしれませんが、

    いきなりISO27001に入るより、
    一旦ISO9001から学んだ方がよい。

    その理由は、

    1. ISO9001はISOすべてのマネジメントシステムのベースだから。
    2. ISO9001とISO27001の共通要素は多いから。
    3. ISO14001などの他のマネジメントシステムへの応用が効きやすいから。

    ISO9001ならQCプラネッツにおかませください!

    ISO9001 2015についてはQCプラネッツの人気ブログがあります。たくさんの方に見ていただいております。是非復習しましょう!

    ISO9001_2015_まとめ 【ISO9001 2015がわかる】
    ISO9001 2015の要求事項を、暗記に走らず、理解して自分の言葉で説明できるように、実務経験から重要ポイントをわかりやすく解説!

    全要求事項をわかりやすく解説しており、さらに、内部監査・外部審査のポイント、内部監査養成へのポイントもQCプラネッツのサイトでまとめています。

    マネジメントシステム全体像

    まずは、PDCAサイクルとISOマネジメントシステムとの関連をおさえましょう。

    品質マネジメントシステム

    先ほどのリンクの【ISO9001 2015がわかる】記事にあるとおり、PDCAサイクルをしっかりおさえておきましょう。

    ③ ISO27001要求事項を学ぶポイント

    ここまで、読めば、

    ISO9001から、
    リスクアセスメントを加えて、
    運用の各プロセスを統合すれば
    ISO27001になる

    とわかります。

    ソフトウェア、情報セキュリティの
    知識やノウハウがなくても、
    ISO27001は理解できてしまう。

    ともいえます。

    品質マネジメントシステム

    でも、それだけでは
    ・専門知識やノウハウがないことが相手にばれてしまう。
    ・自信もってISO27001が運用できない。
    ・リスクアセスメント・情報目録が煩雑になりそうで、運用が面倒くさい。
    ・特に煩雑な「管理策」への対策が不十分で困っている。

    あたりが、不安要素になるでしょう。

    ISO27001 2022の初心者が習得すべき方法

    ISO27001を始めることは特に、


    ・ソフトウェア、情報セキュリティを始めたばかり。
    ・管理策への対策。

    の2点が、大きなハードルと思います。
    (その次は「リスクアセスメント」でしょうが、これはやればいいだけと分かってきます。)

    でも、大丈夫です! 1つずつQCプラネッツと解決できます!!

    ソフトウェアが苦手でも大丈夫!

    情報セキュリティは基本、カタカナが多いソフトウェア領域で、得意な人もいれば、苦手な人もいます。

    情報セキュリティは得意不得意関係なく大事なので、苦手な人はどうやって攻略するか?悩むはずです。

    そこで、QCプラネッツがその攻略法を解説しました。関連記事を読んでください。

    情報セキュリティは重要とわかるけど、ソフトウェア領域が苦手なあなたに、是非読んでほしい攻略法です!

    管理策をどうやってものにするか?

    ISO9001にはない、「管理策」。要求事項と同様に要求されますが、数が多く、粒度もばらばらで理解や習得が難しいです。

    QCプラネッツが編み出した攻略法は、

    マネジメントシステムなのだから、メインは要求事項。だったら管理策を無理矢理でも、要求事項に組み込んで、同時に見ていけば習得しやすいはず

    詳しくは、関連記事を読んでください。

    93個もあり、まとめにくい管理策は
    要求事項に組み込めば、マスターできる必殺技を伝授します!

    手元に置いておきたい管理策の運用マニュアル

    管理策は暗記不要で、後から見るべきものとわかるはずです。とはいえ、数行しかない管理策から何を注意して要求を満たせばよいかの勘所がわかりませんよね。

    また、確認頻度も高いので、

    手元に置いて、すぐに確認ができ、勘所も書いてあるマニュアルがほしい

    と思い、関連記事を作りました。読んで下さい。

    93個あるISO27001 2022管理策を上手に活用できる方法を伝授します!

    ここまで来れば、
    ISO27001の攻略方法は、
    (1) 要求事項の全体像はISO9001をベースでよく、
    (2) ISO27001学習の初期に悩みやすい、
    ・情報セキュリティの基礎
    ・管理策への対応
    への対処方法がわかり、自信がついたと思います。

    あとは、個別の細かいところを1つずつ習得していけば、ISO9001,ISO27001両方マスターできます。

    細かいところもQCプラネッツがわかりやすく解説していきます。

    まとめ

    以上、「ISO27001 2022管理策がわかる!」を解説しました。

    • ① ISO9001 2015と比較してISO27001 2022を学ぶ
    • ② ISO9001 2015要求事項を復習
    • ③ ISO27001要求事項を学ぶポイント
  • 【重要】ISO27001 2022管理策がわかる!

    【重要】ISO27001 2022管理策がわかる!

    本記事のテーマ

    【重要】ISO27001 2022管理策がわかる!
    ISO27001 2022管理策の
    大事なポイントと
    業務、運用、監査に活かせるポイントを
    まとめた教科書を作りました!

    手元にあるとうれしい本書です。

    • ①管理策の習得が難しくて悩んでいませんか?
    • ②QCプラネッツが【わかる!管理策教科書】を作りました!
    • 【本書ご購入方法】

    ①管理策の習得が難しくて悩んでいませんか?

    管理策をどう攻略するかがISO27001ではキーとなります。

    理由をいくつか挙げると、

    1. 管理策が93個もあり、多すぎ!
    2. 個々の管理策の要求事項が簡素であり、具体的に何をしたらよいか迷う。
    3. ソフトウェアや情報セキュリティ分野が苦手である。
    4. 運用するために暗記したいが覚えられず困る。
    5. ユーザ-からの問い合わせ、監査対応で自信もって対応できない。

    など、たくさん悩みが出てきます。

    ソフトウェアが苦手な
    QCプラネッツも同意見です。

    とはいっても、

    情報セキュリティの重要性は年々増すばかりで、自分の業務にもかかわるのも時間の問題!

    なので、

    どうすればいいのか?困る!!

    となりますよね!

    ②QCプラネッツが【わかる!管理策教科書】を作りました!

    あなたと同じ悩みをもっていたQCプラネッツから本書を紹介させていただきます。

    4点解説します。

    • (1) 作った思い
    • (2) 本書のポイント・メリット
    • (3) 本書の構成
    • (4) 本書のサンプルをご紹介

    (1) 作った思い

    もともとは、自分用にまとめたものでした。

    教科書なり、自費で受講した資料なり、色々集めて、
    自分にとってわかりやすく、活用しやすく、
    手元に持ってすぐ確認できる教科書
    作成しました。

    折角作ったので、

    同じ悩みを抱える多くの方々にも活用していただければと思い、本書を提案させていただきます。

    (2) 本書のポイント・メリット

    わかりやすく、活用しやすく、
    手元に持ってすぐ確認できる教科書    を意識して作りました。

    本書のポイント・メリット

    1. できるだけスライドの文字を減らし、ポイントを強調。
    2. 本書を活用しやすく、1管理策に1スライド。
    3. 専門用語や概念ではなく、具体的かつ分かりやすい言葉で解説。
    4. 管理策の暗記は不要で、むしろ組織のリスクとその対策を具体的に考える姿勢を重視。
    5. まず管理策全体を俯瞰し、徐々に個別の管理策の理解を深めること。
    6. すぐに読み返して、何度も読めること。

    いかがでしょうか。

    管理策への苦手意識をあまり気にせず、どなたでもマスターできる本書構成であることがわかると思います。

    そうじゃないと、QCプラネッツ自身も自信もって、ISO27001ができませんから(笑)。

    (3) 本書の構成

    全104ページあります。本書の構成をご紹介します。

    No ページ 内容
    1 1 表紙
    2 2 目次
    3 3 【はじめに】
    4 6 5.組織的管理策
    5 44 6.人的管理策
    6 53 7.物理的管理策
    7 68 8.技術的管理策
    8 103 まとめ

    (4) 本書のサンプルをご紹介

    「(2) 本書のポイント・メリット」 は本書の【はじめに】に記載しております。

    せっかくなので数ページ解説ページサンプルを紹介します。管理策は全部で93あるので、100ページ超となります。

    本当は前頁紹介したいのですが、100ページ超のため、だらだらたくさん図を張り付けても、本書の良さが活かせないので、いくつか紹介とさせていただきます。

    その1

    その2

    その3

    各ページのポイント

    1. 朱書きにて重要箇所を強調。
    2. 具体的に何が要求されているかがわかる。
    3. 求められるものやそれが無い場合の対処も解説。
    最初は「なるほど」
    2回目は「全体との関係」
    慣れてきたら「セキュリティ関連の専門用語・概念」への熟知
    ・・・
    と何度も読みながら
    情報セキュリティを究めていきましょう。

    情報セキュリティの習得方法は、

    1. 自組織でのリスク・やるべきことを考える。
    2. ISMSの全体を理解する。
    3. 慣れて自信がついてきたらソフトウェア、情報セキュリティの専門用語・概念への理解を広める。

    です。ありがちなのは、その逆の
    1.ソフトウェア、情報セキュリティの専門用語・概念を暗記
    2. ISMS,ISO27001の内容を暗記
    3.すべて覚えてから活動する
    は、

    初心者は特にくじけます。
    実用的な行動が先で専門性は後です!

    ③【本書ご購入方法】

    本ブログから販売しております。

    本ブログからのご購入

    ご購入いただけます。ご購入後、QCプラネッツからアクセスサイト先(アクセスのみ可)をご案内いたします。データの拡散を防ぐため、ダウンロードと印刷は不可とさせていただきます。

    メルカリからのご購入(近日公開予定)

    商品出品後、ここに記載させていただきます。

    noteからのご購入(近日公開予定)

    note掲載後、ここに記載させていただきます。

    よろしくお願いいたします。

    まとめ

    以上、「ISO27001 2022管理策がわかる!」を解説しました。

    <d

    • ①管理策の習得が難しくて悩んでいませんか?
    • ②QCプラネッツが【わかる!管理策教科書】を作りました!
    • 【本書ご購入方法】
  • ソフトウェアが苦手でも情報セキュリティがよくわかる

    ソフトウェアが苦手でも情報セキュリティがよくわかる

    本記事のテーマ

    ソフトウェアが苦手でも情報セキュリティがよくわかる
    • ①情報セキュリティに苦手意識ありませんか?
    • ②ソフトウェアが苦手でも情報セキュリティはすぐ理解できる!
    • ③QCプラネッツが「わかる情報セキュリティ」の本書を作成しました!
    • 【本書ご購入方法】

    ①情報セキュリティに苦手意識ありませんか?

    情報セキュリティの重要さが増している

    近年はIT(情報技術)や情報通信が飛躍的に発展しています。QCプラネッツもブログを書いているのもこうした恩恵があるからです。

    しかし、一方でIT基盤を脅かす脅威も深刻化しています。そのため情報セキュリティが重要視されてきています。

    多くの企業がISMSやISO27001認証を取り、情報セキュリティリテラシー強化に向かっています。

    情報セキュリティをマスターしたいけど困っている

    QCプラネッツも然りで、

    情報セキュリティが大事だからマスターしたい!
    でも、難しくて困っている!!

    ではありませんか?

    その理由は、よくわかります。以下が「あるある」だと思います。

    1. ソフトウェアが苦手で、情報セキュリティがよくわからない
    2. 情報セキュリティに出てくる専門用語が理解できず、暗記してもすぐ忘れる
    3. 天才国際ハッカーに襲われる見えない恐怖にかられる

    などが理由でしょう。

    QCプラネッツはハードウェア寄りの思考であり、
    ソフトウェアが苦手で
    SEの仕事など(特に要件定義あたり)は何をやっているのか?
    何が面白いのか?がよくわかりません。

    とはいっても、

    毎日、PC、ネット、システムを活用して仕事している分、情報セキュリティは何とかマスターしたい!

    という気持ちはあります。せっかくの思いを空回りしないようにするにはどうすればよいか?ずっと困っていました。

    でも、解決しました。
    本ブログを読んでいただければ同じ悩みを抱えるあなたへ
    役立てられる!と自信があります。

    ②ソフトウェアが苦手でも情報セキュリティはすぐ理解できる!

    実は、ソフトウェアが苦手でも、情報セキュリティの専門用語が知らなくても、情報セキュリティはマスターできます。不思議に思うでしょう。その理由も解説していきます!

    情報セキュリティは家の防犯対策と同じ

    情報セキュリティが苦手なQCプラネッツでも、情報セキュリティ,ISMS,ISO27001をマスターするにはどんな演習問題があればよいかをいろいろ思考しました。その結果、

    家の防犯対策を考えることができたら
    情報セキュリティ,ISMS,ISO27001が手に入る!

    とわかりました。その理由は、

    家の防犯対策そのものを情報セキュリティ用語に変換すればクリアーできるから。

    なので、

    得意な人は、情報セキュリティ用語から入って良し!
    苦手な人は、防犯対策を思考演習史して良し!

    これはQCプラネッツも意外な結果がわかり、面白い!と実感しています。

    リスクを考え、対策を考える練習すれば大丈夫

    あとで本書を紹介しますが、その中で豪邸の防犯対策をたくさん列挙すると、ISO27001管理策のほとんどが網羅できました。

    となると、

    防犯対策を考える思考さえあれば
    ISMS,ISO27001の中身の暗記は不要。
    だから何も覚えなくても情報セキュリティ対策はできる!

    ③QCプラネッツが「わかる情報セキュリティ」の本書を作成しました!

    パワポ資料形式でわかりやすくまとめました。

    本書を作った思い

    1. 専門家が書く情報セキュリティは、専門用語・概念が難しい!
    2. 情報セキュリティの運用は煩雑でやりたくない!
    3. とはいっても、すべての人に情報セキュリティ対策は必須
    4. 簡単でわかりやすく学べる入門書がほしい!無いなら作ってしまおう!

    という思いで、本書を作りました。

    作ってわかったことは、

    1. 情報セキュリティの用語・概念よりあなたにとってのリスクは何か?を具体的に解ればそれでよい!
    2. 情報セキュリティ事故は、外部攻撃より内部不正・ミスによるものがほとんど。
    3. だから自分ができることだけやるだけでもかなりの情報セキュリティ対策ができる
    4. ISMS,ISO27001の内容(特にISO27001 管理策)は暗記不要。自分で考えた対策に該当するものを後であてはめればよいだけ
    5. 専門用語より自分の言葉で対策した方が周囲も理解でき、情報セキュリティ対策につながる

    本書の構成

    イメージ図です。

    「ソフトウェアが苦手でも情報セキュリティがよくわかる」ために以下の構成を考えて本書を作りました。

    1. 情報セキュリティは何に気を付けたらよいのか?を冷静に理解する。
    2. 情報セキュリティを学ぶ前に、「侵入・盗難」から家の防犯対策を演習する。(侵入・盗難する側と、それを守る側の両方の立場で考える)
    3. 防犯対策を情報セキュリティ対策に置き換える(意外とそのままでよいことがわかる)
    4. ISO27001要求事項・管理策と照らし合わせると割と網羅できることを実感できる
    5. 次は小規模オフィスのあるあるから情報セキュリティ対策を考える
    6. 家の防犯対策と同様に、小規模オフィスも自分で情報セキュリティ対策を考えることができるようになる
    7. ISO27001要求事項・管理策と照らし合わせると割と網羅できることを実感できる
    8. 専門用語・概念より自分でとるべき対策を考えること、考えてから用語・概念を合わせればよいだけ
    9. 自信がついたら、情報セキュリティの専門用語や概念を勉強してもよい

    ➃【本書ご購入方法】

    本ブログから販売しております。

    本ブログからのご購入

    ご購入いただけます。ご購入後、QCプラネッツからアクセスサイト先(アクセスのみ可)をご案内いたします。データの拡散を防ぐため、ダウンロードと印刷は不可とさせていただきます。

    メルカリからのご購入(近日公開予定)

    商品出品後、ここに記載させていただきます。

    noteからのご購入(近日公開予定)

    note掲載後、ここに記載させていただきます。

    よろしくお願いいたします。

    まとめ

    以上、「ソフトウェアが苦手でも情報セキュリティがよくわかる」を解説しました。

    • ①情報セキュリティに苦手意識ありませんか?
    • ②ソフトウェアが苦手でも情報セキュリティはすぐ理解できる!
    • ③QCプラネッツが「わかる情報セキュリティ」の本書を作成しました!
    • 【本書ご購入方法】
  • ISO27001 2022管理策は要求事項に組み込もう!

    ISO27001 2022管理策は要求事項に組み込もう!

    本記事のテーマ

    ISO27001 2022管理策は要求事項に組み込もう!
    • ①管理策への悩み
    • ②管理策は要求事項に組み込めばいい!
    • ③【結論】要求事項と管理策の対応表を活用しよう!

    ①管理策への悩み

    管理策をどう攻略するかがISO27001ではキーとなります。

    管理策への悩みあるある

    ISMS,ISO27001を勉強したり、実務で求められたりすると、絶対悩みことがあります!

    1. 93個もある管理策は覚えられない!しかも要求事項もあるし。。。
    2. 多すぎる管理項目では組織の情報セキュリティ管理が十分できず本末転倒だ!
    3. ISMS内部監査、ISO27001外部審査で、管理策全てはチェック時間的に無理!

    と思いますよね。

    管理策の対応あるある

    実際、ISO27001の審査員の講義でこういう質問すると、

    1. 93個もある管理策は覚えなくていいし、審査員も全部は覚えていない。
    2. 審査の評価の際に、ISOハンドブックをみて管理策番号を照らし合わせている。
    3. 93個のある管理策は、個別の粒度である程度はまとめることができる。それを覚えて審査にのぞんでいる。

    と回答をもらいました。

    でも、

    一瞬わかった感じになるが、
    管理策を習得した気にならない。
    職場で管理策に関する問い合わせが来ると不安だ

    と、完全に納得する感じにはなりません。

    QCプラネッツが解決します!
    秘訣を思いつきました!

    ②管理策は要求事項に組み込めばいい!

    結論のイメージ図を描きます。本記事で最も伝えたいところです。

    発想のきっかけ

    管理策攻略はQCプラネッツも困っています。
    とはいえ、ISO27001を学ぶ上でいくつか気づいたことがあります。

    1. 監査は長くても2~3時間。この中ですべての要求事項と管理項目の10近くを質疑するには、1個2,3分しか時間がないこと
    2. ISMS,ISO27001のベースはマネジメントシステム(MS)であり、MSがしっかり管理・運営できていることが要求されること
    3. ISO27001の要求事項4~10はISO9001とほぼ同じで、完成度が高く今後変わる可能性は低い。一方、管理策はISO27001更新のたびに変わるほど完成度が低い。重視すべきは要求事項側であること
    4. 管理策のいくつかは要求事項の内容と重複するものがあるとわかったこと

    監査演習すると、質疑は管理策より要求事項がベースであり、
    日々の情報セキュリティも組織運営が肝であり、要求事項がベースとなります。

    ISO9001をマスターしていれば、
    そこに少し情報セキュリティの内容を追加しただけでも
    それなりの監査や管理ができてしまう。

    この作戦で行けば、管理策への抵抗感はほぼありません(とQCプラネッツは実感しています。

    要求事項4~10の流れはISO9001,ISO14001などのマネジメントシステムと同じなのでマスターしましょう。

    ISO9001については関連記事があります。

    ISO9001_2015_まとめ ISO9001 2015の要求事項を、暗記に走らず、理解して自分の言葉で説明できるように、実務経験から重要ポイントをわかりやすく解説!

    個々の管理策に近い要求事項を当てていく

    では、93個の管理策をそれぞれ、最も近い要求事項に当てていきましょう。

    完全に一致しないところもあります。
    考えが変わって該当する要求事項も変わるでしょう。それもOKです。

    ではやってみましょう。QCプラネッツは下表のとおりになりました。これが絶対正解ではありません。一例としてみてください。

    管理策と要求事項の対応表

    管理
    		 内容 要求
    事項    		 内容
    4.1 組織及びその状況の理解
    5.1 情報セキュリティのための方針群 5.3 責任及び権限
    5.2 情報セキュリティの役割及び責任 5.3 責任及び権限
    5.3 職務の分離 5.3 責任及び権限
    5.4 管理層の責任 5.3 責任及び権限
    5.5 関係当局との連絡 5.3 責任及び権限
    5.6 専門組織との連絡 5.3 責任及び権限
    5.7 脅威インテリジェンス 4.1 組織及びその状況の理解
    5.8 プロジェクトマネジメントにおける情報セキュリティ 9.1 監視、測定、分析及び評価
    5.9 情報及びその他の関連資産の目録 7.1 資源
    5.10 情報及びその他の関連資産の許容される利用 7.5 文書化した情報
    5.11 資産の返却 7.1 資源
    5.12 情報の分類 7.5 文書化した情報
    5.13 情報のラベル付け 7.5 文書化した情報
    5.14 情報の転送 7.1 資源
    5.15 アクセス管理 5.3 責任及び権限
    5.16 識別情報の管理 5.3 責任及び権限
    5.17 認証情報 5.3 責任及び権限
    5.18 アクセス権 5.3 責任及び権限
    5.19 供給者関係における情報セキュリティ 4.2 利害関係者のニーズ及び期待の理解
    5.20 供給者との合意における情報セキュリティの取扱い 4.2 利害関係者のニーズ及び期待の理解
    5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 4.2 利害関係者のニーズ及び期待の理解
    5.22 供給者のサービス提供の監視、レビュー及び変更管理 4.2 利害関係者のニーズ及び期待の理解
    5.23 クラウドサービスの利用における情報セキュリティ 4.2 利害関係者のニーズ及び期待の理解
    5.24 情報セキュリティインシデント管理の計画策定及び準備 8.3 情報セキュリティリスク対応
    5.25 情報セキュリティ事象の評価及び決定 8.3 情報セキュリティリスク対応
    5.26 情報セキュリティインシデントへの対応 8.3 情報セキュリティリスク対応
    5.27 情報セキュリティインシデントからの学習 8.3 情報セキュリティリスク対応
    5.28 証拠の収集 8.3 情報セキュリティリスク対応
    5.29 事業の中断・阻害時の情報セキュリティ 8.3 情報セキュリティリスク対応
    5.30 事業継続のためのICTの備え 8.3 情報セキュリティリスク対応
    5.31 法令、規制及び契約上の要求事項 9.1 監視、測定、分析及び評価
    5.32 知的財産権 9.1 監視、測定、分析及び評価
    5.33 記録の保護 9.1 監視、測定、分析及び評価
    5.34 プライバシー及び個人識別可能情報(PII)の保護 9.1 監視、測定、分析及び評価
    5.35 情報セキュリティの独立したレビュー 9.1 監視、測定、分析及び評価
    5.36 情報セキュリティのための方針群、規則及び標準の遵守 9.1 監視、測定、分析及び評価
    5.37 操作手順書 7.5 文書化した情報
    6.1 選考 7.1 資源
    6.2 雇用条件 7.1 資源
    6.3 情報セキュリティの意識向上、教育及び訓練 7.2 力量
    6.4 懲戒手続 7.1 資源
    6.5 雇用の終了又は変更後の責任 7.1 資源
    6.6 秘密保持契約又は守秘義務契約 7.3 認識
    6.7 リモートワーク 7.1 資源
    6.8 情報セキュリティ事象の報告 8.3 情報セキュリティリスク対応
    7.1 物理的セキュリティ境界 7.1 資源
    7.2 物理的入退 7.1 資源
    7.3 オフィス、部屋及び施設のセキュリティ 7.1 資源
    7.4 物理的セキュリティの監視 7.1 資源
    7.5 物理的及び環境的脅威からの保護 7.1 資源
    7.6 セキュリティを保つべき領域での作業 7.1 資源
    7.7 クリアデスク・クリアスクリーン 7.1 資源
    7.8 装置の設置及び保護 7.1 資源
    7.9 構外にある資産のセキュリティ 7.1 資源
    7.10 記憶媒体 7.1 資源
    7.11 サポートユーティリティ 7.1 資源
    7.12 ケーブル配線のセキュリティ 7.1 資源
    7.13 装置の保守 7.1 資源
    7.14 装置のセキュリティを保った処分又は再利用 7.1 資源
    8.1 利用者エンドポイント機器 5.3 責任及び権限
    8.2 特権的アクセス権 5.3 責任及び権限
    8.3 情報へのアクセス制限 5.3 責任及び権限
    8.4 ソースコードへのアクセス 5.3 責任及び権限
    8.5 セキュリティを保った認証 5.3 責任及び権限
    8.6 容量・能力の管理 7.1 資源
    8.7 マルウェアに対する保護 7.1 資源
    8.8 技術的脆弱性の管理 7.1 資源
    8.9 構成管理 7.1 資源
    8.10 情報の削除 8.1 運用の計画策定及び管理
    8.11 データマスキング 8.1 運用の計画策定及び管理
    8.12 データ漏洩防止 8.1 運用の計画策定及び管理
    8.13 情報のバックアップ 8.1 運用の計画策定及び管理
    8.14 情報処理施設・設備の冗長性 8.1 運用の計画策定及び管理
    8.15 ログ取得 8.1 運用の計画策定及び管理
    8.16 監視活動 8.1 運用の計画策定及び管理
    8.17 クロックの同期 8.1 運用の計画策定及び管理
    8.18 特権的なユーティリティプログラムの使用 8.1 運用の計画策定及び管理
    8.19 運用システムへのソフトウェアの導入 8.1 運用の計画策定及び管理
    8.20 ネットワークセキュリティ 8.3 情報セキュリティリスク対応
    8.21 ネットワークサービスのセキュリティ 8.3 情報セキュリティリスク対応
    8.22 ネットワークの分離 8.3 情報セキュリティリスク対応
    8.23 ウェブフィルタリング 8.3 情報セキュリティリスク対応
    8.24 暗号の利用 8.3 情報セキュリティリスク対応
    8.25 セキュリティに配慮した開発のライフサイクル 9.1 監視、測定、分析及び評価
    8.26 アプリケーションセキュリティの要求事項 9.1 監視、測定、分析及び評価
    8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 9.1 監視、測定、分析及び評価
    8.28 セキュリティに配慮したコーディング 9.1 監視、測定、分析及び評価
    8.29 開発及び受入れにおけるセキュリティテスト 9.1 監視、測定、分析及び評価
    8.30 外部委託による開発 9.1 監視、測定、分析及び評価
    8.31 開発環境、テスト環境及び本番環境の分離 9.1 監視、測定、分析及び評価
    8.32 変更管理 9.1 監視、測定、分析及び評価
    8.33 テスト用情報 9.1 監視、測定、分析及び評価
    8.34 監査におけるテスト中の情報システムの保護 9.1 監視、測定、分析及び評価
    5.1 リーダーシップ&コミットメント
    5.2 方針
    6.1 計画策定
    6.1.2 リスクアセスメント
    7.4 コミュニケーション
    9.2 内部監査
    9.3 マネジメントレビュー
    10.1 不適合、是正処置
    10.2 継続的改善
    これは一例です。
    大事なのは考え方です。

    そして、

    上表を
    「管理策⇒要求事項」の対応から
    「要求事項⇒管理策」の対応に
    変えてみましょう。

    ③【結論】要求事項と管理策の対応表を活用しよう!

    要求事項と管理策の対応表

    是非活用してみてください。

    上表を
    「管理策⇒要求事項」の対応から
    「要求事項⇒管理策」の対応に
    変えてみましょう。
    要求
    事項    		 内容 管理
    		 内容
    4.1 組織及びその状況の理解
    4.1 組織及びその状況の理解 5.7 脅威インテリジェンス
    4.2 利害関係者のニーズ及び期待の理解 5.19 供給者関係における情報セキュリティ
    4.2 利害関係者のニーズ及び期待の理解 5.20 供給者との合意における情報セキュリティの取扱い
    4.2 利害関係者のニーズ及び期待の理解 5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
    4.2 利害関係者のニーズ及び期待の理解 5.22 供給者のサービス提供の監視、レビュー及び変更管理
    4.2 利害関係者のニーズ及び期待の理解 5.23 クラウドサービスの利用における情報セキュリティ
    5.1 リーダーシップ&コミットメント
    5.2 方針
    5.3 責任及び権限 5.1 情報セキュリティのための方針群
    5.3 責任及び権限 5.2 情報セキュリティの役割及び責任
    5.3 責任及び権限 5.3 職務の分離
    5.3 責任及び権限 5.4 管理層の責任
    5.3 責任及び権限 5.5 関係当局との連絡
    5.3 責任及び権限 5.6 専門組織との連絡
    5.3 責任及び権限 5.15 アクセス管理
    5.3 責任及び権限 5.16 識別情報の管理
    5.3 責任及び権限 5.17 認証情報
    5.3 責任及び権限 5.18 アクセス権
    5.3 責任及び権限 8.1 利用者エンドポイント機器
    5.3 責任及び権限 8.2 特権的アクセス権
    5.3 責任及び権限 8.3 情報へのアクセス制限
    5.3 責任及び権限 8.4 ソースコードへのアクセス
    5.3 責任及び権限 8.5 セキュリティを保った認証
    6.1 計画策定
    6.1.2 リスクアセスメント
    7.1 資源 5.9 情報及びその他の関連資産の目録
    7.1 資源 5.11 資産の返却
    7.1 資源 5.14 情報の転送
    7.1 資源 6.1 選考
    7.1 資源 6.2 雇用条件
    7.1 資源 6.4 懲戒手続
    7.1 資源 6.5 雇用の終了又は変更後の責任
    7.1 資源 6.7 リモートワーク
    7.1 資源 7.1 物理的セキュリティ境界
    7.1 資源 7.2 物理的入退
    7.1 資源 7.3 オフィス、部屋及び施設のセキュリティ
    7.1 資源 7.4 物理的セキュリティの監視
    7.1 資源 7.5 物理的及び環境的脅威からの保護
    7.1 資源 7.6 セキュリティを保つべき領域での作業
    7.1 資源 7.7 クリアデスク・クリアスクリーン
    7.1 資源 7.8 装置の設置及び保護
    7.1 資源 7.9 構外にある資産のセキュリティ
    7.1 資源 7.10 記憶媒体
    7.1 資源 7.11 サポートユーティリティ
    7.1 資源 7.12 ケーブル配線のセキュリティ
    7.1 資源 7.13 装置の保守
    7.1 資源 7.14 装置のセキュリティを保った処分又は再利用
    7.1 資源 8.6 容量・能力の管理
    7.1 資源 8.7 マルウェアに対する保護
    7.1 資源 8.8 技術的脆弱性の管理
    7.1 資源 8.9 構成管理
    7.2 力量 6.3 情報セキュリティの意識向上、教育及び訓練
    7.3 認識 6.6 秘密保持契約又は守秘義務契約
    7.4 コミュニケーション
    7.5 文書化した情報 5.10 情報及びその他の関連資産の許容される利用
    7.5 文書化した情報 5.12 情報の分類
    7.5 文書化した情報 5.13 情報のラベル付け
    7.5 文書化した情報 5.37 操作手順書
    8.1 運用の計画策定及び管理 8.10 情報の削除
    8.1 運用の計画策定及び管理 8.11 データマスキング
    8.1 運用の計画策定及び管理 8.12 データ漏洩防止
    8.1 運用の計画策定及び管理 8.13 情報のバックアップ
    8.1 運用の計画策定及び管理 8.14 情報処理施設・設備の冗長性
    8.1 運用の計画策定及び管理 8.15 ログ取得
    8.1 運用の計画策定及び管理 8.16 監視活動
    8.1 運用の計画策定及び管理 8.17 クロックの同期
    8.1 運用の計画策定及び管理 8.18 特権的なユーティリティプログラムの使用
    8.1 運用の計画策定及び管理 8.19 運用システムへのソフトウェアの導入
    8.3 情報セキュリティリスク対応 5.24 情報セキュリティインシデント管理の計画策定及び準備
    8.3 情報セキュリティリスク対応 5.25 情報セキュリティ事象の評価及び決定
    8.3 情報セキュリティリスク対応 5.26 情報セキュリティインシデントへの対応
    8.3 情報セキュリティリスク対応 5.27 情報セキュリティインシデントからの学習
    8.3 情報セキュリティリスク対応 5.28 証拠の収集
    8.3 情報セキュリティリスク対応 5.29 事業の中断・阻害時の情報セキュリティ
    8.3 情報セキュリティリスク対応 5.30 事業継続のためのICTの備え
    8.3 情報セキュリティリスク対応 6.8 情報セキュリティ事象の報告
    8.3 情報セキュリティリスク対応 8.20 ネットワークセキュリティ
    8.3 情報セキュリティリスク対応 8.21 ネットワークサービスのセキュリティ
    8.3 情報セキュリティリスク対応 8.22 ネットワークの分離
    8.3 情報セキュリティリスク対応 8.23 ウェブフィルタリング
    8.3 情報セキュリティリスク対応 8.24 暗号の利用
    9.1 監視、測定、分析及び評価 5.8 プロジェクトマネジメントにおける情報セキュリティ
    9.1 監視、測定、分析及び評価 5.31 法令、規制及び契約上の要求事項
    9.1 監視、測定、分析及び評価 5.32 知的財産権
    9.1 監視、測定、分析及び評価 5.33 記録の保護
    9.1 監視、測定、分析及び評価 5.34 プライバシー及び個人識別可能情報(PII)の保護
    9.1 監視、測定、分析及び評価 5.35 情報セキュリティの独立したレビュー
    9.1 監視、測定、分析及び評価 5.36 情報セキュリティのための方針群、規則及び標準の遵守
    9.1 監視、測定、分析及び評価 8.25 セキュリティに配慮した開発のライフサイクル
    9.1 監視、測定、分析及び評価 8.26 アプリケーションセキュリティの要求事項
    9.1 監視、測定、分析及び評価 8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
    9.1 監視、測定、分析及び評価 8.28 セキュリティに配慮したコーディング
    9.1 監視、測定、分析及び評価 8.29 開発及び受入れにおけるセキュリティテスト
    9.1 監視、測定、分析及び評価 8.30 外部委託による開発
    9.1 監視、測定、分析及び評価 8.31 開発環境、テスト環境及び本番環境の分離
    9.1 監視、測定、分析及び評価 8.32 変更管理
    9.1 監視、測定、分析及び評価 8.33 テスト用情報
    9.1 監視、測定、分析及び評価 8.34 監査におけるテスト中の情報システムの保護
    9.2 内部監査
    9.3 マネジメントレビュー
    10.1 不適合、是正処置
    10.2 継続的改善

    PDFも用意しました。活用ください。

    ★リンク 【ISO27001要求事項と管理策の対応表】

    対応表からわかること

    上表を見ると、例えば

    要求事項「4.2 利害関係者のニーズ及び期待の理解」 において、
    該当する管理策
    ・「5.19 供給者関係における情報セキュリティ
    ・「5.20 供給者との合意における情報セキュリティの取扱い
    ・「5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
    ・「5.22 供給者のサービス提供の監視、レビュー及び変更管理
    ・「5.23 クラウドサービスの利用における情報セキュリティ
    の5つを考えて組織運営や、監査対応をすればよいことがわかります。

    基本は、

    要求事項はマネジメントシステムとして確立していることと、わかりやすいことから要求事項をベースにISMS,ISO27001に対応していけばよいです。

    そして、

    要求事項の補佐する役割として数多い管理策があるという関係でみていけば、管理策への抵抗は無くなるはず。

    いかがでしょう。対応表を活用して、管理策を活用していきましょう。

    まとめ

    以上、「ISO27001 2022管理策は要求事項に組み込もう!」を解説しました。

    • ①管理策への悩み
    • ②管理策は要求事項に組み込めばいい!
    • ③【結論】要求事項と管理策の対応表を活用しよう!
error: Content is protected !!