★ 本記事のテーマ
ISO27001 2022管理策は要求事項に組み込もう!
- ①管理策への悩み
- ②管理策は要求事項に組み込めばいい!
- ③【結論】要求事項と管理策の対応表を活用しよう!
①管理策への悩み
管理策をどう攻略するかがISO27001ではキーとなります。
管理策への悩みあるある
ISMS,ISO27001を勉強したり、実務で求められたりすると、絶対悩みことがあります!
- 93個もある管理策は覚えられない!しかも要求事項もあるし。。。
- 多すぎる管理項目では組織の情報セキュリティ管理が十分できず本末転倒だ!
- ISMS内部監査、ISO27001外部審査で、管理策全てはチェック時間的に無理!
と思いますよね。
管理策の対応あるある
実際、ISO27001の審査員の講義でこういう質問すると、
- 93個もある管理策は覚えなくていいし、審査員も全部は覚えていない。
- 審査の評価の際に、ISOハンドブックをみて管理策番号を照らし合わせている。
- 93個のある管理策は、個別の粒度である程度はまとめることができる。それを覚えて審査にのぞんでいる。
と回答をもらいました。
でも、
一瞬わかった感じになるが、
管理策を習得した気にならない。
職場で管理策に関する問い合わせが来ると不安だ
管理策を習得した気にならない。
職場で管理策に関する問い合わせが来ると不安だ
と、完全に納得する感じにはなりません。
QCプラネッツが解決します!
秘訣を思いつきました!
秘訣を思いつきました!
②管理策は要求事項に組み込めばいい!
結論のイメージ図を描きます。本記事で最も伝えたいところです。
発想のきっかけ
管理策攻略はQCプラネッツも困っています。
とはいえ、ISO27001を学ぶ上でいくつか気づいたことがあります。
- 監査は長くても2~3時間。この中ですべての要求事項と管理項目の10近くを質疑するには、1個2,3分しか時間がないこと
- ISMS,ISO27001のベースはマネジメントシステム(MS)であり、MSがしっかり管理・運営できていることが要求されること
- ISO27001の要求事項4~10はISO9001とほぼ同じで、完成度が高く今後変わる可能性は低い。一方、管理策はISO27001更新のたびに変わるほど完成度が低い。重視すべきは要求事項側であること
- 管理策のいくつかは要求事項の内容と重複するものがあるとわかったこと
監査演習すると、質疑は管理策より要求事項がベースであり、
日々の情報セキュリティも組織運営が肝であり、要求事項がベースとなります。
ISO9001をマスターしていれば、
そこに少し情報セキュリティの内容を追加しただけでも
それなりの監査や管理ができてしまう。
そこに少し情報セキュリティの内容を追加しただけでも
それなりの監査や管理ができてしまう。
この作戦で行けば、管理策への抵抗感はほぼありません(とQCプラネッツは実感しています。
要求事項4~10の流れはISO9001,ISO14001などのマネジメントシステムと同じなのでマスターしましょう。
ISO9001については関連記事があります。
 |
ISO9001 2015の要求事項を、暗記に走らず、理解して自分の言葉で説明できるように、実務経験から重要ポイントをわかりやすく解説! |
個々の管理策に近い要求事項を当てていく
では、93個の管理策をそれぞれ、最も近い要求事項に当てていきましょう。
完全に一致しないところもあります。
考えが変わって該当する要求事項も変わるでしょう。それもOKです。
考えが変わって該当する要求事項も変わるでしょう。それもOKです。
ではやってみましょう。QCプラネッツは下表のとおりになりました。これが絶対正解ではありません。一例としてみてください。
★管理策と要求事項の対応表
| 管理 策 |
内容 | – | 要求 事項 |
内容 |
| ー | ー | ⇒ | 4.1 | 組織及びその状況の理解 |
| 5.1 | 情報セキュリティのための方針群 | ⇒ | 5.3 | 責任及び権限 |
| 5.2 | 情報セキュリティの役割及び責任 | ⇒ | 5.3 | 責任及び権限 |
| 5.3 | 職務の分離 | ⇒ | 5.3 | 責任及び権限 |
| 5.4 | 管理層の責任 | ⇒ | 5.3 | 責任及び権限 |
| 5.5 | 関係当局との連絡 | ⇒ | 5.3 | 責任及び権限 |
| 5.6 | 専門組織との連絡 | ⇒ | 5.3 | 責任及び権限 |
| 5.7 | 脅威インテリジェンス | ⇒ | 4.1 | 組織及びその状況の理解 |
| 5.8 | プロジェクトマネジメントにおける情報セキュリティ | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 5.9 | 情報及びその他の関連資産の目録 | ⇒ | 7.1 | 資源 |
| 5.10 | 情報及びその他の関連資産の許容される利用 | ⇒ | 7.5 | 文書化した情報 |
| 5.11 | 資産の返却 | ⇒ | 7.1 | 資源 |
| 5.12 | 情報の分類 | ⇒ | 7.5 | 文書化した情報 |
| 5.13 | 情報のラベル付け | ⇒ | 7.5 | 文書化した情報 |
| 5.14 | 情報の転送 | ⇒ | 7.1 | 資源 |
| 5.15 | アクセス管理 | ⇒ | 5.3 | 責任及び権限 |
| 5.16 | 識別情報の管理 | ⇒ | 5.3 | 責任及び権限 |
| 5.17 | 認証情報 | ⇒ | 5.3 | 責任及び権限 |
| 5.18 | アクセス権 | ⇒ | 5.3 | 責任及び権限 |
| 5.19 | 供給者関係における情報セキュリティ | ⇒ | 4.2 | 利害関係者のニーズ及び期待の理解 |
| 5.20 | 供給者との合意における情報セキュリティの取扱い | ⇒ | 4.2 | 利害関係者のニーズ及び期待の理解 |
| 5.21 | 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 | ⇒ | 4.2 | 利害関係者のニーズ及び期待の理解 |
| 5.22 | 供給者のサービス提供の監視、レビュー及び変更管理 | ⇒ | 4.2 | 利害関係者のニーズ及び期待の理解 |
| 5.23 | クラウドサービスの利用における情報セキュリティ | ⇒ | 4.2 | 利害関係者のニーズ及び期待の理解 |
| 5.24 | 情報セキュリティインシデント管理の計画策定及び準備 | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 5.25 | 情報セキュリティ事象の評価及び決定 | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 5.26 | 情報セキュリティインシデントへの対応 | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 5.27 | 情報セキュリティインシデントからの学習 | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 5.28 | 証拠の収集 | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 5.29 | 事業の中断・阻害時の情報セキュリティ | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 5.30 | 事業継続のためのICTの備え | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 5.31 | 法令、規制及び契約上の要求事項 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 5.32 | 知的財産権 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 5.33 | 記録の保護 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 5.34 | プライバシー及び個人識別可能情報(PII)の保護 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 5.35 | 情報セキュリティの独立したレビュー | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 5.36 | 情報セキュリティのための方針群、規則及び標準の遵守 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 5.37 | 操作手順書 | ⇒ | 7.5 | 文書化した情報 |
| 6.1 | 選考 | ⇒ | 7.1 | 資源 |
| 6.2 | 雇用条件 | ⇒ | 7.1 | 資源 |
| 6.3 | 情報セキュリティの意識向上、教育及び訓練 | ⇒ | 7.2 | 力量 |
| 6.4 | 懲戒手続 | ⇒ | 7.1 | 資源 |
| 6.5 | 雇用の終了又は変更後の責任 | ⇒ | 7.1 | 資源 |
| 6.6 | 秘密保持契約又は守秘義務契約 | ⇒ | 7.3 | 認識 |
| 6.7 | リモートワーク | ⇒ | 7.1 | 資源 |
| 6.8 | 情報セキュリティ事象の報告 | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 7.1 | 物理的セキュリティ境界 | ⇒ | 7.1 | 資源 |
| 7.2 | 物理的入退 | ⇒ | 7.1 | 資源 |
| 7.3 | オフィス、部屋及び施設のセキュリティ | ⇒ | 7.1 | 資源 |
| 7.4 | 物理的セキュリティの監視 | ⇒ | 7.1 | 資源 |
| 7.5 | 物理的及び環境的脅威からの保護 | ⇒ | 7.1 | 資源 |
| 7.6 | セキュリティを保つべき領域での作業 | ⇒ | 7.1 | 資源 |
| 7.7 | クリアデスク・クリアスクリーン | ⇒ | 7.1 | 資源 |
| 7.8 | 装置の設置及び保護 | ⇒ | 7.1 | 資源 |
| 7.9 | 構外にある資産のセキュリティ | ⇒ | 7.1 | 資源 |
| 7.10 | 記憶媒体 | ⇒ | 7.1 | 資源 |
| 7.11 | サポートユーティリティ | ⇒ | 7.1 | 資源 |
| 7.12 | ケーブル配線のセキュリティ | ⇒ | 7.1 | 資源 |
| 7.13 | 装置の保守 | ⇒ | 7.1 | 資源 |
| 7.14 | 装置のセキュリティを保った処分又は再利用 | ⇒ | 7.1 | 資源 |
| 8.1 | 利用者エンドポイント機器 | ⇒ | 5.3 | 責任及び権限 |
| 8.2 | 特権的アクセス権 | ⇒ | 5.3 | 責任及び権限 |
| 8.3 | 情報へのアクセス制限 | ⇒ | 5.3 | 責任及び権限 |
| 8.4 | ソースコードへのアクセス | ⇒ | 5.3 | 責任及び権限 |
| 8.5 | セキュリティを保った認証 | ⇒ | 5.3 | 責任及び権限 |
| 8.6 | 容量・能力の管理 | ⇒ | 7.1 | 資源 |
| 8.7 | マルウェアに対する保護 | ⇒ | 7.1 | 資源 |
| 8.8 | 技術的脆弱性の管理 | ⇒ | 7.1 | 資源 |
| 8.9 | 構成管理 | ⇒ | 7.1 | 資源 |
| 8.10 | 情報の削除 | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.11 | データマスキング | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.12 | データ漏洩防止 | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.13 | 情報のバックアップ | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.14 | 情報処理施設・設備の冗長性 | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.15 | ログ取得 | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.16 | 監視活動 | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.17 | クロックの同期 | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.18 | 特権的なユーティリティプログラムの使用 | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.19 | 運用システムへのソフトウェアの導入 | ⇒ | 8.1 | 運用の計画策定及び管理 |
| 8.20 | ネットワークセキュリティ | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 8.21 | ネットワークサービスのセキュリティ | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 8.22 | ネットワークの分離 | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 8.23 | ウェブフィルタリング | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 8.24 | 暗号の利用 | ⇒ | 8.3 | 情報セキュリティリスク対応 |
| 8.25 | セキュリティに配慮した開発のライフサイクル | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.26 | アプリケーションセキュリティの要求事項 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.27 | セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.28 | セキュリティに配慮したコーディング | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.29 | 開発及び受入れにおけるセキュリティテスト | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.30 | 外部委託による開発 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.31 | 開発環境、テスト環境及び本番環境の分離 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.32 | 変更管理 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.33 | テスト用情報 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| 8.34 | 監査におけるテスト中の情報システムの保護 | ⇒ | 9.1 | 監視、測定、分析及び評価 |
| – | – | ⇒ | 5.1 | リーダーシップ&コミットメント |
| – | – | ⇒ | 5.2 | 方針 |
| – | – | ⇒ | 6.1 | 計画策定 |
| – | – | ⇒ | 6.1.2 | リスクアセスメント |
| – | – | ⇒ | 7.4 | コミュニケーション |
| – | – | ⇒ | 9.2 | 内部監査 |
| – | – | ⇒ | 9.3 | マネジメントレビュー |
| – | – | ⇒ | 10.1 | 不適合、是正処置 |
| – | – | ⇒ | 10.2 | 継続的改善 |
これは一例です。
大事なのは考え方です。
大事なのは考え方です。
そして、
上表を
「管理策⇒要求事項」の対応から
「要求事項⇒管理策」の対応に
変えてみましょう。
「管理策⇒要求事項」の対応から
「要求事項⇒管理策」の対応に
変えてみましょう。
③【結論】要求事項と管理策の対応表を活用しよう!
要求事項と管理策の対応表
是非活用してみてください。
上表を
「管理策⇒要求事項」の対応から
「要求事項⇒管理策」の対応に
変えてみましょう。
「管理策⇒要求事項」の対応から
「要求事項⇒管理策」の対応に
変えてみましょう。
| 要求 事項 |
内容 | – | 管理 策 |
内容 |
| 4.1 | 組織及びその状況の理解 | ⇒ | ー | ー |
| 4.1 | 組織及びその状況の理解 | ⇒ | 5.7 | 脅威インテリジェンス |
| 4.2 | 利害関係者のニーズ及び期待の理解 | ⇒ | 5.19 | 供給者関係における情報セキュリティ |
| 4.2 | 利害関係者のニーズ及び期待の理解 | ⇒ | 5.20 | 供給者との合意における情報セキュリティの取扱い |
| 4.2 | 利害関係者のニーズ及び期待の理解 | ⇒ | 5.21 | 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理 |
| 4.2 | 利害関係者のニーズ及び期待の理解 | ⇒ | 5.22 | 供給者のサービス提供の監視、レビュー及び変更管理 |
| 4.2 | 利害関係者のニーズ及び期待の理解 | ⇒ | 5.23 | クラウドサービスの利用における情報セキュリティ |
| 5.1 | リーダーシップ&コミットメント | ⇒ | – | – |
| 5.2 | 方針 | ⇒ | – | – |
| 5.3 | 責任及び権限 | ⇒ | 5.1 | 情報セキュリティのための方針群 |
| 5.3 | 責任及び権限 | ⇒ | 5.2 | 情報セキュリティの役割及び責任 |
| 5.3 | 責任及び権限 | ⇒ | 5.3 | 職務の分離 |
| 5.3 | 責任及び権限 | ⇒ | 5.4 | 管理層の責任 |
| 5.3 | 責任及び権限 | ⇒ | 5.5 | 関係当局との連絡 |
| 5.3 | 責任及び権限 | ⇒ | 5.6 | 専門組織との連絡 |
| 5.3 | 責任及び権限 | ⇒ | 5.15 | アクセス管理 |
| 5.3 | 責任及び権限 | ⇒ | 5.16 | 識別情報の管理 |
| 5.3 | 責任及び権限 | ⇒ | 5.17 | 認証情報 |
| 5.3 | 責任及び権限 | ⇒ | 5.18 | アクセス権 |
| 5.3 | 責任及び権限 | ⇒ | 8.1 | 利用者エンドポイント機器 |
| 5.3 | 責任及び権限 | ⇒ | 8.2 | 特権的アクセス権 |
| 5.3 | 責任及び権限 | ⇒ | 8.3 | 情報へのアクセス制限 |
| 5.3 | 責任及び権限 | ⇒ | 8.4 | ソースコードへのアクセス |
| 5.3 | 責任及び権限 | ⇒ | 8.5 | セキュリティを保った認証 |
| 6.1 | 計画策定 | ⇒ | – | – |
| 6.1.2 | リスクアセスメント | ⇒ | – | – |
| 7.1 | 資源 | ⇒ | 5.9 | 情報及びその他の関連資産の目録 |
| 7.1 | 資源 | ⇒ | 5.11 | 資産の返却 |
| 7.1 | 資源 | ⇒ | 5.14 | 情報の転送 |
| 7.1 | 資源 | ⇒ | 6.1 | 選考 |
| 7.1 | 資源 | ⇒ | 6.2 | 雇用条件 |
| 7.1 | 資源 | ⇒ | 6.4 | 懲戒手続 |
| 7.1 | 資源 | ⇒ | 6.5 | 雇用の終了又は変更後の責任 |
| 7.1 | 資源 | ⇒ | 6.7 | リモートワーク |
| 7.1 | 資源 | ⇒ | 7.1 | 物理的セキュリティ境界 |
| 7.1 | 資源 | ⇒ | 7.2 | 物理的入退 |
| 7.1 | 資源 | ⇒ | 7.3 | オフィス、部屋及び施設のセキュリティ |
| 7.1 | 資源 | ⇒ | 7.4 | 物理的セキュリティの監視 |
| 7.1 | 資源 | ⇒ | 7.5 | 物理的及び環境的脅威からの保護 |
| 7.1 | 資源 | ⇒ | 7.6 | セキュリティを保つべき領域での作業 |
| 7.1 | 資源 | ⇒ | 7.7 | クリアデスク・クリアスクリーン |
| 7.1 | 資源 | ⇒ | 7.8 | 装置の設置及び保護 |
| 7.1 | 資源 | ⇒ | 7.9 | 構外にある資産のセキュリティ |
| 7.1 | 資源 | ⇒ | 7.10 | 記憶媒体 |
| 7.1 | 資源 | ⇒ | 7.11 | サポートユーティリティ |
| 7.1 | 資源 | ⇒ | 7.12 | ケーブル配線のセキュリティ |
| 7.1 | 資源 | ⇒ | 7.13 | 装置の保守 |
| 7.1 | 資源 | ⇒ | 7.14 | 装置のセキュリティを保った処分又は再利用 |
| 7.1 | 資源 | ⇒ | 8.6 | 容量・能力の管理 |
| 7.1 | 資源 | ⇒ | 8.7 | マルウェアに対する保護 |
| 7.1 | 資源 | ⇒ | 8.8 | 技術的脆弱性の管理 |
| 7.1 | 資源 | ⇒ | 8.9 | 構成管理 |
| 7.2 | 力量 | ⇒ | 6.3 | 情報セキュリティの意識向上、教育及び訓練 |
| 7.3 | 認識 | ⇒ | 6.6 | 秘密保持契約又は守秘義務契約 |
| 7.4 | コミュニケーション | ⇒ | – | – |
| 7.5 | 文書化した情報 | ⇒ | 5.10 | 情報及びその他の関連資産の許容される利用 |
| 7.5 | 文書化した情報 | ⇒ | 5.12 | 情報の分類 |
| 7.5 | 文書化した情報 | ⇒ | 5.13 | 情報のラベル付け |
| 7.5 | 文書化した情報 | ⇒ | 5.37 | 操作手順書 |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.10 | 情報の削除 |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.11 | データマスキング |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.12 | データ漏洩防止 |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.13 | 情報のバックアップ |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.14 | 情報処理施設・設備の冗長性 |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.15 | ログ取得 |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.16 | 監視活動 |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.17 | クロックの同期 |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.18 | 特権的なユーティリティプログラムの使用 |
| 8.1 | 運用の計画策定及び管理 | ⇒ | 8.19 | 運用システムへのソフトウェアの導入 |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 5.24 | 情報セキュリティインシデント管理の計画策定及び準備 |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 5.25 | 情報セキュリティ事象の評価及び決定 |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 5.26 | 情報セキュリティインシデントへの対応 |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 5.27 | 情報セキュリティインシデントからの学習 |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 5.28 | 証拠の収集 |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 5.29 | 事業の中断・阻害時の情報セキュリティ |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 5.30 | 事業継続のためのICTの備え |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 6.8 | 情報セキュリティ事象の報告 |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 8.20 | ネットワークセキュリティ |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 8.21 | ネットワークサービスのセキュリティ |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 8.22 | ネットワークの分離 |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 8.23 | ウェブフィルタリング |
| 8.3 | 情報セキュリティリスク対応 | ⇒ | 8.24 | 暗号の利用 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 5.8 | プロジェクトマネジメントにおける情報セキュリティ |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 5.31 | 法令、規制及び契約上の要求事項 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 5.32 | 知的財産権 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 5.33 | 記録の保護 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 5.34 | プライバシー及び個人識別可能情報(PII)の保護 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 5.35 | 情報セキュリティの独立したレビュー |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 5.36 | 情報セキュリティのための方針群、規則及び標準の遵守 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.25 | セキュリティに配慮した開発のライフサイクル |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.26 | アプリケーションセキュリティの要求事項 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.27 | セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.28 | セキュリティに配慮したコーディング |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.29 | 開発及び受入れにおけるセキュリティテスト |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.30 | 外部委託による開発 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.31 | 開発環境、テスト環境及び本番環境の分離 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.32 | 変更管理 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.33 | テスト用情報 |
| 9.1 | 監視、測定、分析及び評価 | ⇒ | 8.34 | 監査におけるテスト中の情報システムの保護 |
| 9.2 | 内部監査 | ⇒ | – | – |
| 9.3 | マネジメントレビュー | ⇒ | – | – |
| 10.1 | 不適合、是正処置 | ⇒ | – | – |
| 10.2 | 継続的改善 | ⇒ | – | – |
PDFも用意しました。活用ください。
対応表からわかること
上表を見ると、例えば
要求事項「4.2 利害関係者のニーズ及び期待の理解」 において、
該当する管理策
・「5.19 供給者関係における情報セキュリティ」
・「5.20 供給者との合意における情報セキュリティの取扱い」
・「5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理」
・「5.22 供給者のサービス提供の監視、レビュー及び変更管理」
・「5.23 クラウドサービスの利用における情報セキュリティ」
の5つを考えて組織運営や、監査対応をすればよいことがわかります。
該当する管理策
・「5.19 供給者関係における情報セキュリティ」
・「5.20 供給者との合意における情報セキュリティの取扱い」
・「5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理」
・「5.22 供給者のサービス提供の監視、レビュー及び変更管理」
・「5.23 クラウドサービスの利用における情報セキュリティ」
の5つを考えて組織運営や、監査対応をすればよいことがわかります。
基本は、
要求事項はマネジメントシステムとして確立していることと、わかりやすいことから要求事項をベースにISMS,ISO27001に対応していけばよいです。
そして、
要求事項の補佐する役割として数多い管理策があるという関係でみていけば、管理策への抵抗は無くなるはず。
いかがでしょう。対応表を活用して、管理策を活用していきましょう。
まとめ
以上、「ISO27001 2022管理策は要求事項に組み込もう!」を解説しました。
- ①管理策への悩み
- ②管理策は要求事項に組み込めばいい!
- ③【結論】要求事項と管理策の対応表を活用しよう!