No.231 ISO情報セキュリティマネジメントシステム その2

ITコラム
2017年11月6日

ISO 飛鳥 石橋一史によるITコラム
~帝国ニュースに掲載されたものを紹介していきます~

 

    先週登場した[附属書A]とは何か?

これを知るためには、まずISO/IEC27002:2013 (以下27002)を確認しなければならない。

表題は「情報技術−セキュリティ技術 − 情報セキュリティ管理策の実践のための規範」とあり、冒頭の「0.1背景及び状況」には“技術的な手段によって達成できるセキュリティには限界があり,適切な管理及び手順によって支えることが望ましい”とある。

要するに、情報管理には限界があるということを前段で述べているのだ。大企業どころか、国家でさえ、情報管理の失敗、問題点を露呈していることからも、情報の管理には限界があることを理解しておかなければならない。これは、品質・環境・労働安全衛生でも同じことが言える。

 リスクを完全に抑え込むことはできないという前提にして、リスクを特定し、それを「低減・保有・回避・移転」の四つの手段を重ね合せながら低減策を定義していく概念を持つことが27002で求められており、これを基に具体的な管理策の枠組みとして[附属書A]が登場してくる。この表題は「管理目的及び管理策」として、組織情報の管理に対する115項目の質問事項が表構成になっており、各項目に管理目的と管理策を具体的に定めるようになっている。来週から、項目ごとにみていこう…