TOPプロジェクト管理> A11 アクセス制御
ISMSからみる情報セキュリティ対策
ISMSからみる情報セキュリティ対策

第7回:ISMS認証規格の動向と関連法令等の対応
 著者:みずほ情報総研  青木 淳   2005/11/28
前のページ  1  2  3  4
A11 アクセス制御

11.3.3 クリアデスク・クリアスクリーンの方針
旧基準「7.3.1 クリアデスク及びクリアスクリーンの個別方針」からの移設した基準。クリアデスクについては、書類および取り外し可能な記憶媒体を対象とし、クリアスクリーンについては情報処理設備を対象とするように明確化された。
A12 情報システムの取得、開発及び保守

12.5.4 情報の漏洩
旧基準「10.5.4 隠れチャネル及びトロイの木馬」から変更。情報漏洩の機会を防止するといった内容に変更。内容的には旧基準の内容を包含していると思われる。
12.6.1 技術的脆弱性の管理策
使用される情報システムの技術的脆弱性について、情報を入手し、適切な管理策を実施することが求められた。新設された基準になる。
A13 情報セキュリティインシデント管理

   旧基準で分散していた情報セキュリティの事象や弱点およびインシデントの管理について、1つの領域としてまとめられ、わかりやすくなった。

13.2.3 証拠の収集
旧基準「12.1.1 証拠の収集」では収集の対象が明確になっていなかったが、新基準では情報セキュリティインシデントに関することに明確化された。
ISMSからJIS Q 27001への移行について

   ISMS認証基準(Ver.2.0)はISO/IEC 27001の発行に伴い、2007年10月には廃棄となる予定である。したがって認証取得企業はISMSからISO/IEC 27001への移行を準備する必要がある。また、これから認証の取得を予定している企業もどのような対応をすべきか迷うところである。

   ここではISMSからISO/IEC 27001への移行についてのポイントを記載する。詳細はJIPDECのサイト(http://www.isms.jipdec.jp/ISO27001.html)に記載があるので、そちらを参照願いたい。

   移行期間については、以下のようなことが望まれている。

ISMS認証基準(Ver.2.0)による初回審査(新規の認証)は、JIS Q 27001の規格発行後6ヶ月以内に登録完了すること。また規格発行後6ヶ月経過時点から1年以内に、維持審査(サーベイランス)を実施すると共にJIS Q 27001の移行のための差分審査を実施することが望ましい。

   ISO/IEC 27001のJIS化が2006年4月頃の予定なので、ISMS Ver.2.0による新規の審査は2006年10月に終了する予定となっている。したがってISMS Ver.2.0での認証取得を予定している企業は、はやめに審査の申請をする必要がある。

   またISMS Ver.2.0で認証の取得を行った後も2006年10月からの1年以内に今度は、JIS Q 27001の差分審査を実施する必要があるので注意が必要である。

   今年度中あるいは来期の早々に認証の取得を予定している企業は、早めに審査機関と調整をするのがよいと思われる。また、来年度以降の認証取得を予定している企業は、JIS Q 27001の認証取得を目指したほうがよいと思われる。

ISMS認証基準(Ver.2.0)で認証取得されている組織に対しては、JIS Q 27001の発行後の維持審査(サーベイランス)および更新審査において、JIS Q 27001への移行のための差分審査を含むことが望ましい。

   前述のように、JIS Q 27001の発行が2006年4月の予定であるので、それ以降に実施されるISMSの維持もしくは更新審査はJIS Q 27001の対応が求められるので、認証取得企業はその準備をしておく必要がある。

   しかしながら、今回の規格の変更はそれほど大きなものではないため、規格対応用に若干の関連文書の変更や追記・適用宣言書の変更などで対応できる。ただし、これまで記載してきたように、詳細管理策の内容の変更点は細かい部分で多くの修正がなされているので、現時点から規格の内容の確認をするなど何らかの準備は今からはじめたほうがよい。
次回は

   最終回となる次回は情報セキュリティを取り巻く関連規程について、ITIL、SOX法との関連について解説する。
前のページ  1  2  3  4

みずほ情報総研株式会社 青木 淳
 著者プロフィール
みずほ情報総研株式会社  青木 淳
みずほ情報総研株式会社 システムコンサルティング部 シニアマネジャー
情報セキュリティを中心としたコンサルティング業務を担当。最近のプロジェクトでは、ISMS適合性評価制度認証取得支援コンサルティング、情報セキュリティ監査、個人情報保護法対策支援コンサルティング、情報セキュリティポリシー・スタンダード策定コンサルティングなど。ITコーディネータ、ISMS審査員補。
INDEX
第7回:ISMS認証規格の動向と関連法令等の対応
  はじめに
  リスクアセスメントに関する変更
  ISO/IEC 17799:2005(27002)の変更点
A11 アクセス制御