9-1-1. 管理策：ISO/IEC 27002

ISO/IEC 27001に記載されている要求事項をもとに、さらに具体的なISMSの管理策を示した規格がISO/IEC 27002です。管理策とは、リスク対応のための対策のことを指します。企業はISMSを導入する際、ISO/IEC 27002にある管理策から、自社に合ったものを選択し、対策基準として導入することになります。
ISO/IEC 27002は、2022年に改訂がありました。その際の変更点としては、管理策の項目数と章立ての変更、テーマおよび属性の導入、全管理策への目的の追加などがあります。管理策の数は、2013年版では14分野114項目でしたが、2022年版ではいくつかが統合されて82項目になり、新しく11項目が追加され、合計で93項目となりました。
2022年版では、この93の管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の 4つのカテゴリに分類されています（箇条5～8 ）。
また、2022年版では「属性（attribute） 」という新しい概念が導入されました。各管理策には、属性値がハッシュタグで表示されるようになっています。たとえば、管理策のタイプには、予防・検知・是正の3つの属性値があります。この他、情報セキュリティ特性、サイバーセキュリティ概念、運用機能、セキュリティドメインの観点からも属性値がつけられています。 これらの属性を参考にして、組織に必要な情報セキュリティ対策を選択することになります。