 |
||||||||||||
|
||||||||||||
| 前のページ 1 2 3 4 次のページ | ||||||||||||
|
||||||||||||
| リスクアセスメントに関する変更 | ||||||||||||
|
リスクアセスメントについては、「ISMSの監視及び見直し」でリスクアセスメントの見直しが要求され、「文書化に関する要求事項」ではリスクアセスメントの手法について文書化要求事項として明示されている。
表2:リスクアセスメントに関する変更
|
||||||||||||
| 経営者の責任の追加 | ||||||||||||
|
「経営陣の責任」で内部監査の実施が追加された
表3:経営者の責任の追加
大きな変更点は以上の通りである。ISMSの認証を取得している企業であれば、リスクアセスメントについてはなんらかの形で実施しており、その文書化をしていないケースは少ないと思われる。 また、文書化をしていれば、おそらく文書化の見直しやISMSの見直しのタイミングで、リスクアセスメントの見直しについても実施していると思われる。また内部監査についても同様で、経営者の責任を文書追加する程度で、それほど変更に対する体力はかからないと思われる。 しかしながら、管理策の有効性の測定については、注意が必要である。何を持ってこの基準が満たされるのかはまだ明確なものはないが、おそらくリスク対応として実施した管理策について、なんらかの形でモニタリングする必要があるだろう(例えば、セルフチェックシートのようなものを定期的に実施する、あるいは管理策を実施したことによるセキュリティ事件・事故の件数の低下など)。 したがって、今後のISMSではリスク対応を検討する際に、管理策を選択するだけでなく、その管理策が有効であるかどうかの検証項目も同時に考えておく必要があると思われる。ここの動向については、今度もウォッチしていく必要がある。 |
||||||||||||
| ISO/IEC 17799:2005(27002)の概要 | ||||||||||||
|
ISO/IEC 27001の「付属書A:管理目的及び管理策」に規定されている詳細管理策は6月に発行されたISO/IEC 17799:2005が規定した133の管理策に合わせている。ここでは、ISO/IEC 17799:2005の概要について記載する。ISO/IEC 17799:2000からの変更点としては、まず領域が10から11に増えたことである(図3)。  図3:ISO/IEC 17799:2005(2000年度版との比較) 情報セキュリティの事件・事故管理に関する分野が増えており、これまで他の領域に分散していたものを1つの領域としてまとめた感がある。管理策についても、127から133に増えている。実際には、17項目が追加となり、9項目の管理策が削除・再編成された。削除された管理策は以下の通りである。
表4:削除された管理策
|
||||||||||||
|
前のページ 1 2 3 4 次のページ |
||||||||||||
|
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
