19-2-9. 第9章. 管理策のテーマと属性
9-1. 管理策の分類と構成
章の目的
第9章では、ISO/IEC 27002における管理策(リスク対応のための対策)の分類と構成について理解することを目的とします。
主な達成目標
ISMSの管理策について、テーマと属性という観点を学んだ上で管理策の構成を理解すること
主なキーワード
管理策、ISO/IEC 27002
要旨
9章の全体概要
ISMSの管理策を示した規格であるISO/IEC 27002について説明しています。
9-1. 管理策の分類と構成
管理策:ISO/IEC 27002
管理策の数は、2013年版では14分野114項目でしたが、2022年版ではいくつかが統合されて82項目になり、新しく11項目が追加され、合計で93項目となりました。2022年版では、この93の管理策が「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の 4つのカテゴリに分類されています。また、「属性(attribute) 」という新しい概念が導入されました。この属性という概念が導入されたことで、管理策のフィルタリング、並び替え、提示がしやすくなりました。ISMSを構築する際には、これらの管理策から、自社にあったものを選択し、対策基準として採用します。
図78. ISO/IEC 27002の改定内容
管理策のテーマと属性
管理策のテーマと属性について説明しています。
テーマとは、ISO/IEC 27002の箇条5~8に示される4種の管理策での分類(組織的・人的・物理的・技術的)のことです。
属性とは、テーマとは別の視点で、より細かに管理策をみるためのものです。各管理策に属性が付与されたことにより、検索性が向上し、管理策のフィルタリング、並び替え、提示がしやすくなりました。
図79. ISO/IEC 27002:2022の概要
訴求ポイント
章を通した気づき・学び
企業や組織はISO/IEC 27002に示された管理策から組織に必要なものを選択することが重要です。
認識していただきたい実施概要
- ISMSにおけるリスク対応のための対策を指すものとして管理策があり、ISO/IEC 27002:2022に合計93項目示されていること。
- ISO/IEC 27002:2022で示される管理策には4つのテーマと5つの属性があり、それらを参考にしながら組織に必要なセキュリティ対策を選択することが重要であること。
実践のために参考となる文献(参考文献)