ISO27001情報セキュリティマネジメントシステム附属書Aの規格解釈


いつもご愛読いただきありがとうございます。

ISO総合研究所コンサルタントの小嶋です。

 

今回はISO27001【アイエスオー27001】情報セキュリティマネジメントシステムの

附属書Aの7・8・10・11について書いていきたいと思います。

 

・附属書A.7 「資産の管理」について
情報セキュリティマネジメントシステムを維持するために、

会社で守るべき情報資産を洗い出し、価値と責任を割り当て、

的確に取り扱うことが求められています。

「A.7.1資産に対する責任」に関しての管理策について
管理策の項目としては、

①「A.7.1.1 資産目録」、②「A.7.1.2 資産の保有者」、

③「A.7.1.3 資産利用の許容範囲」があります。
「A.7.1.1 資産目録」

項目名のとおり組織が守るべき資産を明確にするために、

資産目録を作成することが求められています。
※様式名「情報資産台帳」など

「A.7.1.2 資産の保有者」

A.7.1.1で明確にした資産の管理責任者(保有者)を明確にすることが求められています。
これは責任の所在を明らかにするためなので、管理者の個人名、職位など、

だれが管理責任者(保有者)なのかをわかるようにしましょう。

※この時の責任者は、実際の業務をしている部署の責任者にしましょう!

例えば、総務部で扱っている情報資産は、責任者は総務部長等・・

勘違いしやすいのはここで代表を責任者にしてしまうことです。

「A7.1.3 資産利用の許容範囲」

A.7.1.1で明確になった資産の利用の許容範囲を、明確に定めることが求められています。

これは、資産の利用の許容範囲を明確化することで、部外者など関係ない人の利用や正当な利用者がむやみやたらに利用できないことを認識し、利用の制限を設けるためです。

 

・附属書A.8 「人的資源のセキュリティ」について

こちらは従業員、契約相手及び第三者利用者といった適用事業にかかわる人についての管理策が求められています。ここでは、人との関わりの経過を「雇用前」、「雇用期間中」、「雇用の終了又は変更」の3段階に分かれた管理策となっています。

※「A.8.1雇用前」は、

①「A.8.1.1役割及び責任」

②「A.8.1.2選考」

③「A.8.1.3雇用条件」で構成されています。

 

「8.1.1役割及び責任」

対象者にその役割と責任を理解させるとともに、組織が求める雇用を実現するために、その対象者の役割と責任を明確にし、文書化することが求められています。
「A.8.1.2選考」

「8.1.1役割及び責任」で定めた事項を遂行できる人材雇用の実現のため、法令に従った適切な対象者の情報収集及び確認方法を定めることが求められています。

 

「A.8.1.3雇用条件」

雇用にあたりその対象者へ、定めた役割及び責任、そして、セキュリティ要求事項を記載した同意書に署名をとることが求められています。

 

・附属書A10.9「 電子商取引サービス」について

この管理策には、公開情報として組織で公開しているWebページも該当しますので、電子商取引サービスの提供はないからA.10.9は全部除外ということにはなりません。

 

「A.10.9.1 電子商取引」
この管理策では、公衆ネットワークを介しての取引サービスを提供している場合に、その取引において不正行為や契約紛争が起こらないようにしましょうというものです。

こちらは、目に見えない相手とのやり取りになりますので、システム上に問題があり否認したり、書き換えられたり等があると信頼とともに問題が生じます。

※電子入札などがこれに当たります。

 

「A.10.9.2 オンライン取引」
こちらと電子商取引の違いですが、こちらは電子商取引の一部とお考えください。
電子商取引は契約行為を全般とし、その中で決済処理が発生するものをオンライン取引として考えていただければと思います。

わかりやすい例をあげるとネットバンキングやオンライントレードがあります。

イメージしやすい対策例として、銀行とのやり取りにおいて専用のPCと専用線で行われることがあるかと思います。 これは、通信経路を制限し認可されていない開示や変更、複製等から守るためのものです。

取引する形態に合わせた対策が必要となります。

 

「A.10.9.3 公開情報」
公開されている情報の完全性を維持するものです。冒頭でも説明したとおり、組織のWebページもこの公開情報にあたりますので、Webページの運営等が業務に含まれている場合は、誤った掲載、間違った掲載。または検知できる体制があるかなどをみていただく形になります。

 

・附属書A10.10「監視」について

こちらは、目的として「認可されていない情報処理活動を検知するため」とあるとおり、

異常な状態を検知できるようにするための管理策になります。

 

「A.10.10.1 監査ログ取得」
必要な監視対象のログを決め、保管期間を定め保持する管理策です。対象とするログは、適用事業にかかわる作業やシステムで見たときに異常を検出させたい事象をログとしてとれるようにし、保持していただければと思います。
確実にログとして残さなければいけないものは、「A.10.10.2」~「A.10.10.5」になります。

「A.10.10.2 システム使用状況の監視」
システムの使用状況の監視ができるよう監視対象とその監視手順を定め、レビューすることが求められています。対象は、こちらも適用事業とその資産をを見たときに異常を検出させたいものになります。

 

「A.10.10.3 ログ情報の保護」
ログは、その活動の証拠であり証明になります。これが容易に改ざんされたり消失したりすると証拠としての真正性が薄くなります。 証拠としての真正性を維持できるよう保護・保管することが求められています。

 

「A.10.10.4 実務管理者及び運用担当者の作業ログ」
この項目とおりシステムの作業担当者の作業ログを残しましょうというものです。対象とする作業内容は特に決められておりませんので、こちらもやはり適用する事業とその資産を対象に考えて頂ければと思います。 非常に大変な活動ではありますが、ちゃんと作業を行っている証明にもなりますので日々実施されている作業について一通り記録を残していただくことが望ましいです。

 

「A.10.10.5 障害のログ取得」
この管理策ではただ取得するだけではなく分析・レビューを行い適切な処置を講じることが求められています。取得だけの企業様は分析・レビューからの対応を行う仕組みの確立が必要です。

 

「A.10.10.6 クロックの同期」
ログの真正性を損なわれないように時刻同期をとりましょうというものです。時刻がずれていれば、正確な時間でのログがとれなくなってしまいます。

 

・附属書A11.1 「アクセス制御に対する業務上の要求事項」について

この管理策では、情報システムにアクセスする利用者に対して順守すべき責任を明確にし、利用者側に意識をもってセキュリティを維持させるための管理策です。

 

「A.11.3.1 パスワードの利用」

付与されたアカウントに対するパスワードをユーザに適切な管理してもらうために必要な順守事項を明確にし、要求する管理策です。

簡単な例をあげますと、パスワードを付箋でモニター等に貼り付けておくことを禁止する等です。

 

「A.11.3.2 無人状態にある利用者装置」

こちらは、無人状態になる場所に装置がある場合、関係のない人が入って不正にアクセス・

利用されないように保護対策を備え、実施する管理策です。帰宅時にノートパソコンを鍵付きキャビネットに入れるや袖机等は鍵をかけて帰るなどが、これにあたります。

 

「A.11.3.3クリアデスク・クリアスクリーン方針」

整理整頓のための管理策です。

机上及びパソコンのデスクトップ上も含め、乱雑に放置・設置しないように実施してくためのもの

であり、情報資産の消失・紛失・盗難等を低減するための策です。

 

以上でございます。

定期的に附属書Aについて解説をしていきたいと思うのでよろしければご覧ください。

メールアドレス