ISO27001附属書Aとは?役割や内容をわかりやすく解説
- ISO27001附属書Aには、情報セキュリティにおける管理目的と管理策が記載されている
- ISO27001附属書Aは2022年の改訂により、4つの管理策カテゴリに変更されている
IT技術の発展・進化とともに、企業の情報セキュリティ体制の構築が求められるようになっています。そのため、情報セキュリティマネジメントシステムに関する国際規格 である ISO27001 の取得を検討している企業も多いでしょう。
ISO 27001を取得するには、規格の要求事項を満たすことが求められますが、その際に要求事項を補足するガイドラインとして「附属書A」を活用できます。しかし、あまり附属書Aについて詳しく知らないという方も多いでしょう。
そこで、この記事ではISO27001附属書Aの概要や役割、具体的な内容を解説します。
目次
ISO27001附属書Aとは
ISO27001附属書Aとはどのようなものなのでしょうか。ここでは、ISO27001と附属書Aの概要、役割について解説します。
ISO27001とは
ISO27001とは、情報セキュリティマネジメントシステムに関する国際規格です。
組織が保有する情報資産を、「完全性
」「機密性
」「可用性」の三要素の観点から適切に管理することで、不正アクセスやサイバー攻撃などの情報セキュリティリスクを低減します。
ISO27001取得メリットや取得するまでの流れなどは以下の記事をご覧ください。
附属書Aとは
ISO27001附属書Aとは、情報セキュリティ上のリスクを低減するための管理目的と、その目的における管理策をまとめたリストです。
のちほど解説しますが、例えば「分類した情報に、媒体に適したラベル付けをしましょう。」といった情報セキュリティリスクへの対策が記載されています。
附属書Aの役割
ISO27001を取得するには、要求事項を満たすマネジメントシステムを構築・運用する必要がありますが、そのための具体的な方法・対策については記載されていません。
ISO27001の要求事項には、附属書Aについて以下のように記載しています。
6.1.3 情報セキュリティリスク対応
注記1
附属書Aは、管理目的及び管理策の包括的なリストである。この規格の利用者は、必要な管理策の見落としがないことを確実にするために、附属書Aを参照することが求められている。(ISO/IEC 27001:2022より引用)
このように、附属書Aやのちほど解説するISO27002には、規格要求事項を補完する役割があるのです。
ISO27001附属書AとISO27002の関係性
ここでは、ISO27002の概要やISO27001附属書AとISO27002の関係性について解説します。
ISO27002とは
ISO27002とは、ISO27001の管理策を実施するためにISMSの基準をまとめた規格です。企業規模や業種、シチュエーション別のベストプラクティスが示されています。
ISO27002の概要や取り組み方の具体例などは、以下の記事をご覧ください。
ISO27001附属書AとISO27002の違い
ISO27001附属書AとISO27002はどちらもISO27001を補完するものという位置づけですが、両者は以下の点が異なります。
| 概要 | 記載事項 | |
|---|---|---|
| ISO27001附属書A | 管理目的と管理策を列挙したリスト |
|
| ISO27002 | 管理策一つひとつを実際に行うための手引き |
|
そのため、両者は以下のように活用されます。
- ISO27001附属書A:必要な管理策を見落としていないかどうかを確認するチェックリストとして用いる
- ISO27002:管理策を実践する際の具体的な方法を参考にするために活用する
ISO27001附属書Aに記載されている管理策の内容
2022年にISO27001附属書Aは改訂され、以下の4つの管理策カテゴリに構成が変更されています。
- 組織的管理策
- 人的管理策
- 物理的管理策
- 技術的管理策
管理策の数も総数も114→93個に変更されていますが、統合などによる減少であるため、実施すべき管理策の数が減少したわけではないことは注意が必要です。
ここでは、4つの管理策カテゴリにおいて、それぞれの内容を解説します。
組織的管理策
組織的管理策は、37項目の管理策が記載されているカテゴリです。
情報セキュリティにおける組織体制を整備する方法や資産の取り扱い方法、アクセス権の付与、インシデント管理などについて規定されています。
組織的管理策には、例えば以下のような管理策があります。
- A.5.1:情報セキュリティのための方針群
- A.5.2:情報セキュリティの役割及び責任
- A.5.3:職務の分離
- A.5.4:経営陣の責任
また、2022年の改訂により、最新のITサービスに対応するための管理策も新たに追加されました。
- A.5.7:脅威インテリジェンス
- A5.23:クラウドサービス利用における情報セキュリティ
- A5.30:事業継続のためのICTの備え
人的管理策
人的管理策は、8項目の管理策が記載されているカテゴリです。
組織が従業員や取引先などの関係者に求める情報セキュリティの責任を明確化することなどが規定されています。
人的管理策には、例えば以下のような管理策があります。
- A.6.1:選考
- A.6.2:雇用条件
- A.6.3:情報セキュリティの意識向上、教育及び訓練
- A.6.4:懲戒手続
物理的管理策
物理的管理策は、14項目の管理策が記載されているカテゴリです。
オフィスや事業所などにおいて、情報を管理している媒体や設備に対する認可されていない物理アクセスによる情報セキュリティリスクを低減するための管理策が記載されています。
物理的管理策には、例えば以下のような管理策があります。
- A.7.1:物理的セキュリティ境界
- A.7.2:物理的入退
- A.7.3:オフィス、部屋及び施設のセキュリティ
- A.7.5:物理的及び環境的脅威からの保護
また、2022年の改訂により、物理的な侵入への監視に関する以下の項目が新たに追加されました。
- A.7.4:物理的セキュリティの監視
技術的管理策
技術的管理策は、34項目の管理策が記載されているカテゴリです。
情報システムやネットワークの利用時の管理策、システム開発・試験などに関する情報セキュリティリスクを低減するための管理策が記載されています。
技術的管理策には、例えば以下のような管理策があります。
- A.8.1:利用者エンドポイント機器
- A.8.2:特権的アクセス権
- A.8.3:情報へのアクセス制限
- A.8.4:ソースコードへのアクセス
また、2022年の改訂により、よりハッキングやウイルス感染、不正利用などの情報セキュリティリスクの低減に貢献する以下の7つの項目が新たに追加されました。
- A.8.9:構成管理
- A.8.10:情報の削除
- A.8.11:データマスキング
- A.8.12:データ漏えい防止
- A.8.16:監視活動
- A.8.23:ウェブ・フィルタリング
- A.8.28:セキュリティに配慮したコーディング
ISO27001附属書Aをすべて実施すべき?
結論からいうと、ISO27001附属書Aはすべて実施する必要はありません。
というのも、附属書Aに記載されている管理策は、あらゆる情報セキュリティリスクに対処できるように作成されているため、業種や業務内容によっては対応する必要のない管理策もあるためです。
例えば、システム開発に関する管理策であれば、システム開発を行っていない企業では適用しなくて良いでしょう。
また、リモートワークに関する管理策であれば、リモートワークを導入していない企業では除外できるでしょう。ただし、現在はリモートワークを導入していなくても、将来的に導入する可能性がある場合にはリスクとなることも考えられます。
そのため、「自社には関係ないから不要だ」と安易に考えるのではなく、自社で実施すべき管理策かどうかは慎重に見極めて適用することが大切です。
まとめ
この記事ではISO27001附属書Aについて詳しく解説しました。
ISO27001附属書Aには管理目的と管理策が記載されており、ISO27001を補完する役割を担っています。
情報セキュリティマネジメントシステムをより強固にするために、ISO27001附属書Aの内容を活用することが大切であるといえるでしょう。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい