ISO27001　>　ISO27001-2022　>　4. 組織の状況から10. 改善　>　詳細管理策 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001 ｜ サイトマップ

附属書Ａ.管理目的及び管理策の解説

管理策の数は、2013 年版では 114 でしたが、2022年版では 93 になりました。

• A.5 組織的管理策
• A.6 人的管理策
• A.7 物理的管理策
• A.8 技術的管理策

削除・ 変更された管理策もありますし、追加された管理策もあります。

また、2 つの管理策が 1 つの管理策に統合されたものもあります。

A.5 組織的管理策

• A.5.1 情報セキュリティのための方針群
• A.5.2 情報セキュリティのための方針群のレビュー

解説

詳細管理策の見出しは、”方針群”となっている。方針はひとつではなく、複数を示していることがわかる。経営者は情報セキュリティ方針を作成して周知する。
~
~

• 5.19 供給者関係における情報セキュリティ
• 5.20 供給者との合意における情報セキュリティの取扱い
• 5.22 供給者のサービス提供 の監視、レビュー及び変更管理

解説

この項目は、供給者がアクセスできる組織の資産の保護を確実にするため行う管理策である。

企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。
サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。
リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。
~
~

• A.5.24 情報セキュリティインシデント管理の計画策定及び準備
• A.5.25 情報セキュリティ事象の評価及び決定
• A.5.26 情報セキュリティイン シデントへの対応

解説

• 情報セキュリティインシデントの管理及びその改善は、情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため行なう。
• 情報セキュリティの事象及び弱点の報告は、情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため行なう。~

~
~

• A.5.29 事業の中断・阻害時の情報セキュリティ
• A.5.30 事業継続のための ICT の備え

~

• A.5.31 法令、規制及び契約上の要求事項
• A.5.32 知的財産権
• A.5.34 プライバシー及び個人識別可能情報(PII）の保護

解説

• 法的要求事項の順守は、法令、規則又は契約上のあらゆる義務、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため行なう。~
• 情報セキュリティ方針及び標準の順守、並びに技術的コンプライアンスは、組織のセキュリティ方針及び標準類へのシステムの順守を確実にするため行なう。~
• 情報システム監査に対する考慮事項は、情報システム監査手続の有効性を最大限にするため、及び情報システム監査手続への／からの干渉を最小限にするため行なう。

A.6 人的管理策 ──────────────────────────

• A.6.1 選考
• A.6.2 雇用条件
• A.6.4 懲戒手続
• A.6.5 雇用の終了又は変更後の責任

解説

• 雇用前は、従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は設備の不正使用のリスクを低減するために行なう。
• 雇用期間中は、従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織のセキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため行なう。
• 雇用の終了または変更は、従業員、契約相手及び第三者の利用者の組織から離脱又は雇用の変更を所定の方法で行うことを確実にするため行なう。

A.7 物理的管理策 ──────────────────────────

• 7.2 物理的入退管理策
• 7.3 オフィス、部屋及び施設のセキュリティ
• 7.4 物理的セキュリティの監視
• 7.7 クリアデスク・クリアスクリーン
• 7.10 記憶媒体

解説

• セキュリティを保つべき領域は、組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため行なう。~
• 装置のセキュリティは、資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するために行なう。

A.8 技術的管理策 ──────────────────────────

• A.8.20 ネットワークセキュリティ
• A.8.21 ネットワークサービスのセキュリティ
• A.8.23 ウェブフィルタリング

解説

• アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。~-通信のセキュリティは、ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするために行う。

~
~
~

• A.8.7 マルウェアに対する保護
• A.8.8 技術的ぜい弱性の管理

• A.8.13 情報のバックアップ
• A.8.15 ログ取得

• A.8.31 開発環境、テスト環境 及び本番環境の分離
• A.8.32 変更管理

解説

運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするために行う。

ランサムウェアの被害を防ぐための対策ポイント
ランサムウェアの被害を防ぐために、次の５つの対策を心がけましょう。

1. 不自然なものには“触らない”
2. OSやソフトの“更新プログラムを速やかに適用”
3. セキュリティソフトは常に“最新に”
4. 大切なデータは、複数の場所でこまめに“バックアップ”
5. 身代金を要求されても“支払わない”

~
~

• A.8.26 アプリケーションセキ ュリティの要求事項
• A.8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
• A.8.30 外部委託による開発
• A.8.32 変更管理

解説

システムの取得、開発及び保守における管理策は、ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため行う。
これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含んでいる。
~
~
~
~

情報セキュリティマネジメントシステム コンサルティング

最新版での新規認証取得支援のコンサルティング、システム運用保守支援、改善支援、内部監査代行サービスなどを行っております。

御見積りは信頼と実績のタテックスまでお問合せください。

　　　お問合せは、ここをクリック→お問合せ

~
~
~
~