付属書Aとは
付属書Aとは、ISMSの規格であるISO/IEC27001(2005年版)では、情報セキュリティリスクに対する管理目的及び管理策(リスク対策)が、A5~A15までのカテゴリに分かれ、133項目が明示されています。
※2005年版では管理策は133項目です。
この管理策には、概要、組織が打つべき具体的な対策の指針が書かれています。
付属書Aの利用
ISO/IEC27001:4.2.1 g)には、「リスク対応のための,管理目的及び管理策を選択する。」と記載され、リスク対応の方法として、「付属書Aの中から,特定した要求事項を満たすために適切なように,管理目的及び管理策を選択しなければならない。」と書かれています。
そのため、ISMS構築にあたり、リスク対応のために「付属書A」の中から選択して対応しなければならないということになります。
管理策は選択制なので、適用しないという選択もできますが、適用除外とした場合、適用除外とすることが正当であり、客観的に見て納得がいく理由がある必要がありますので、除外する場合は、なぜ除外するのかをしっかり協議し、経営陣に対しても承認が必要です。
実施のタイミング
付属書Aの詳細管理策の実施のタイミングは、ISMSの構築する中で、リスクアセスメントを実施しますが、そのリスクアセスメントをした結果、情報資産に対する、脅威、脆弱性に対する対策を検討する際に活用します。
付属書Aに書かれていることを検討することはISMSを構築するプロセスの中で非常に重要な部分になりますので、しっかり検討することが望まれます。
ISMSの構築における疑問、お悩みがあれば、LRMでは無料相談サービスを実施しています。
会社様にあったご提案、回答をさせて頂きますので、是非ご利用ください。
