19章. 総括編19-2. 各章のポイント

19-2-14. 第14章. 組織的管理策

14-1. 組織的管理策を参考とした対策基準・実施手順の策定

章の目的

第14章では、情報セキュリティ方針に従ってセキュリティ対策を実施するための具体的な規則としての「対策基準」と、セキュリティ対策の実施手順や方法である「実施手順」について理解することを目的とします。

主な達成目標

  • 組織的管理策をもとに、対策基準を策定する手順を理解すること。
  • 策定した対策基準をもとに、具体的な実施手順を策定する方法を理解すること。

主なキーワード

組織的管理策

要旨

14章の全体概要

対策基準を策定する際は、ISO/IEC 27001:2022附属書Aの合計93項目の管理策を参考にできます。管理策を参考に、対策基準・実施手順を策定する手順について解説しています。管理策は、「組織的管理策」、「人的管理策」、「物理的管理策」、「技術的管理策」の4つのカテゴリに分類できます。14章では「組織的管理策」を参考に、対策基準を策定する手順について説明し、対策基準それぞれに対応する実施手順の例を説明しています。

14-1. 組織的管理策を参考とした対策基準・実施手順の策定

  • 対策基準の策定
    ISO/IEC 27001:2022附属書Aの組織的管理策(37項目)を参考に、対策基準を策定します。リスクアセスメントの内容をもとに必要な管理策を選択し、決定した管理策を対策基準とします。
    対策基準の内容は、基本方針とともに公開可能なものとして作成します。ISMSに基づく管理策を用いて対策基準を策定する際は、ISO/IEC 27001:2022の文献を参照しながら作成してください。
  • 実施手順の策定
    管理策(対策基準)をもとに策定されたセキュリティ対策の実施手順の例を、それぞれ紹介しています。実施手順は、組織の内部文書として作成します。実施手順が抽象的で理解しづらい場合、従業員は具体的に何を遵守して行動すればよいかわからず、セキュリティ対策が不十分になってしまいます。従業員に対して具体的でわかりやすい実施手順を策定するよう心掛けることが大切です。
    実施手順を策定する際は、ISO/IEC 27002に記載されている各管理策の手引きが参考になります。手引きの内容をもとに、実施手順の例を紹介しています。この例と、ISO/IEC 27002の内容を参考に、自社に適した実施手順を策定しましょう。

組織的管理策の項目

  • 5.1 情報セキュリティのための方針群
  • 5.2 情報セキュリティの役割及び責任
  • 5.3 職務の分離
  • 5.4 経営陣の責任
  • 5.5 関係当局との連絡
  • 5.6 専門組織との連絡
  • 5.7 脅威インテリジェンス
  • 5.8 プロジェクトマネジメントにおける情報セキュリティ
  • 5.9 情報及びその他の関連資産の目録
  • 5.10 情報及びその他の関連資産の利用の許容範囲
  • 5.11 資産の返却
  • 5.12 情報の分類
  • 5.13 情報のラベル付け
  • 5.14 情報転送
  • 5.15 アクセス制御
  • 5.16 識別情報の管理
  • 5.17 認証情報
  • 5.18 アクセス権
  • 5.19 供給者関係における情報セキュリティ
  • 5.20 供給者との合意におけるセキュリティの取扱い
  • 5.21 ICTサプライチェーンにおける情報セキュリティの管理
  • 5.22 供給者のサービス提供の監視、レビュー及び変更管理
  • 5.23 クラウドサービス利用における情報セキュリティ
  • 5.24 情報セキュリティインシデント管理の計画策定及び準備
  • 5.25 情報セキュリティ事象の評価及び決定
  • 5.26 情報セキュリティインシデントへの対応
  • 5.27 情報セキュリティインシデントからの学習
  • 5.28 証拠の収集
  • 5.29 事業の中断・阻害時の情報セキュリティ
  • 5.30 事業継続のためのICTの備え
  • 5.31 法令、規制及び契約上の要求事項
  • 5.32 知的財産権
  • 5.33 記録の保護
  • 5.34 プライバシー及びPIIの保護
  • 5.35 情報セキュリティの独立したレビュー
  • 5.36 情報セキュリティのための方針群、規制及び標準の順守
  • 5.37 操作手順書
訴求ポイント

章を通した気づき・学び

ISO/IEC 27002の内容を参考に組織的管理策の対策基準を決定し、実施手順を作成することが大切です。ドキュメントの作成・更新は重要ですが、本来の目標は、効果的な情報セキュリティ対策の計画と実行にあることを忘れないことが重要です。

認識していただきたい実施概要

  • リスクアセスメントの結果をもとに必要な組織的管理策を選択し、対策基準を策定すること。
  • 対策基準は、基本方針とともに公開可能なものとして策定すること。
  • 決定した対策基準をもとに、具体的に実践するための実施手順を策定すること。
  • 実施手順は、組織の内部文書として従業員に対してわかりやすい実施手順を策定するよう心掛けること。

実践のために参考となる文献(参考文献)

目次にもどる