2020年11月16日

ISMS規格をわかりやすく解読する【A.18 順守】

ishihama
石濱 雄基 記事一覧
Posted in ISMS/ISO27001, 情報セキュリティ, 法律, 規格解説,
このエントリーをはてなブックマークに追加 LINEで送る

「ISMS規格をわかりやすく解読する」シリーズの25回目は、「A.18順守」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2019によります。

A.18.1 法的及び契約上の要求事項の順守

法令違反や契約違反を絶対に起こしてはいけないことは、誰しもが理解していることだと思います。実際そういった事態に陥った場合、多大な損失や社会的な信頼の失墜につながるでしょう。

この章の目的は、ずばり「様々なルールに違反しないようにするために」であり、そのために5つのことが提示されています。

A.18.1.1 適用法令及び契約上の要求事項の特定

関連するルールを把握していなければ、知らず知らずのうちにルール違反を起こしてしまう可能性がありますよね。だからこそまずは、自分たちが組織や事業を運営していく上で、守る必要のある法令等を最新の状態でまとめて保持しておく必要があります。

A.18.1.2 知的財産権

続いては、知的財産権に関するルールを守ることです。思い浮かぶ代表的なものとしては、やはり著作権の侵害といったことでしょうか。具体的な対策としては、第三者の著作物を無許可で利用しないように徹底する、何か制作を外部に委託した際に、どちら側が権利を持つのかといったことなども明確にしておくといったことを行いましょう。

ただ実は他にも、どの組織もかかわる可能性のある知的財産権の問題が存在しています。それは、利用するソフトウェアやWebサービスのライセンスについてです。現在では様々なサービスが登場し、業務上でも複数利用している事でしょう。ただし、それらサービスの中には、「一つのアカウントを複数人で使わないでください」といったことや、「無料のアカウントでは業務利用しないでください」といった利用規約を設定しているものも存在しています。皆さんが無料で便利だからと利用しているサービスが実は業務で使ってはダメなものだったということがないか、今一度確認するべきかもしれません。

A.18.1.3 記録の保護

3つ目が、記録は法令や契約などのルールに則ってしっかり保護するということです。ここで挙げられる代表的なものとしては、法定保管期間年数の決まっているものは、ルールに則って保管しておきましょうということです。その他にも、ログはどれくらいの年数保管しておくべきかといったことや、記憶媒体によって劣化の可能性などを鑑みて保存方法を検討しておくといったことも挙げられます。

A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護

4つ目が、個人情報保護に関する法令等をしっかり守って個人情報を保護できる体制を構築しておくことです。現在では、個人情報を利用する全ての事業者は個人情報保護法の対象となっているため、この点については、「しっかり今まで通り個人情報保護法の順守に努めましょう」ということにつきます。
ただ、一点気を付けるべきポイントとしては、日本以外の国の個人情報に関するルールが適用される場合についてです。その対象となる場合は、当該ルールについてもしっかりと守る必要があります。

A.18.1.5 暗号化機能に対する規制

最後が、暗号化機能は法令や規制を守って利用しましょうということです。例えば、いわゆる外為法の規制対象になるような高度な暗号化技術を使った装置などを輸出したり、利用したりする場合には、当該国の暗号化に関する法規制に従いましょうといったことが挙げられます。

この章のまとめとしては、はじめに関係する法令やルールなどを把握した上で、より誰もがかかわる可能性のある重要なテーマのルールについて言及をしているという認識をしていただけるとわかりやすいのではないでしょうか。とにもかくにも、社会的なルールはしっかり守りましょうということです。

A.18.2 情報セキュリティのレビュー

どのようなルールでも、作るだけでなく、しっかり実行されているか、守られているかが大切です。

この章の目的は、ルール通りに情報セキュリティが運用されているようにする、ということであり、そのために3つのことが提示されています。

A.18.2.1 情報セキュリティの独立したレビュー

まずは、情報セキュリティに関する取り組みの実施などについて、独立した視点でレビューをして適切かつ有効な取り組みであり続けるようにしましょうということです。その上で、経営層に結果を報告することでしっかり反映させていきます。

基本的には、内部監査やマネジメントレビューに合わせて実施することが多いフェーズになります。その上で追加の点として、規格本文上で要求された定められた間隔以外に、「重大な変化が生じた場合」という言葉が入っており、つまり定期的なPDCA以外にも事業拡大や移転などの大きな変化があったときにも監査などを実施することが求められています。

A.18.2.2 情報セキュリティのための方針群及び標準の順守

続いて、ルールがしっかり守られているかレビューを実施しましょうということです。ここでの取り組みは、内部監査に加えて、月次でセキュリティチェックを実施するといったことも有効な活動として挙げられます。

A.18.2.3 技術的順守のレビュー

最後は、システムなど技術的な面での設定がルール通りかレビューしましょうということです。例えば、ネットワークの設定で、ルールで定めた通り不要なポートは閉じていますか、IP制限した通りにアクセスを防げていますかといったことについてテストをしてみる、定めた通りにスクリーンセーバーやセキュリティソフトの自動更新設定が行われているか確認をするといったことが挙げられます。

この章のまとめとしては、しっかりとルールが運用されているか、守られているか、設定どおりの結果になっているか確認をして、有効な仕組みであり続けるようにしていきましょうということになるのではないでしょうか。

まとめ

実は、A.18がISMS規格の附属書Aで最後の章になります。つまり、「ISMSをわかりやすく解読する」シリーズを今回まで見ていただくと、規格の全体像をつかんでいただけるということになります。

ISMS規格は難解な表現や抽象的や表現が多く登場するので、具体的に何が言いたいのかといったことをつかみづらいという方が大多数だと思います。そんな皆様にとって、規格理解の一助として本シリーズを参照していただければ幸いです。

具体的なISMSのお取り組み等について、ご不明点等ございましたら、お気軽にお問合せ下さい。

このエントリーをはてなブックマークに追加 LINEで送る

2020年11月16日

ISMS規格をわかりやすく解読する【A.18 順守】

Posted in ISMS/ISO27001, 情報セキュリティ, 法律, 規格解説

「ISMS規格をわかりやすく解読する」シリーズの25回目は、「A.18順守」について見ていきたいと思います。

※今回利用する「ISMS規格」とは、JIS Q 27001:2014を指します。
※用語の定義は、JIS Q 27000:2019によります。

A.18.1 法的及び契約上の要求事項の順守

法令違反や契約違反を絶対に起こしてはいけないことは、誰しもが理解していることだと思います。実際そういった事態に陥った場合、多大な損失や社会的な信頼の失墜につながるでしょう。

この章の目的は、ずばり「様々なルールに違反しないようにするために」であり、そのために5つのことが提示されています。

A.18.1.1 適用法令及び契約上の要求事項の特定

関連するルールを把握していなければ、知らず知らずのうちにルール違反を起こしてしまう可能性がありますよね。だからこそまずは、自分たちが組織や事業を運営していく上で、守る必要のある法令等を最新の状態でまとめて保持しておく必要があります。

A.18.1.2 知的財産権

続いては、知的財産権に関するルールを守ることです。思い浮かぶ代表的なものとしては、やはり著作権の侵害といったことでしょうか。具体的な対策としては、第三者の著作物を無許可で利用しないように徹底する、何か制作を外部に委託した際に、どちら側が権利を持つのかといったことなども明確にしておくといったことを行いましょう。

ただ実は他にも、どの組織もかかわる可能性のある知的財産権の問題が存在しています。それは、利用するソフトウェアやWebサービスのライセンスについてです。現在では様々なサービスが登場し、業務上でも複数利用している事でしょう。ただし、それらサービスの中には、「一つのアカウントを複数人で使わないでください」といったことや、「無料のアカウントでは業務利用しないでください」といった利用規約を設定しているものも存在しています。皆さんが無料で便利だからと利用しているサービスが実は業務で使ってはダメなものだったということがないか、今一度確認するべきかもしれません。

A.18.1.3 記録の保護

3つ目が、記録は法令や契約などのルールに則ってしっかり保護するということです。ここで挙げられる代表的なものとしては、法定保管期間年数の決まっているものは、ルールに則って保管しておきましょうということです。その他にも、ログはどれくらいの年数保管しておくべきかといったことや、記憶媒体によって劣化の可能性などを鑑みて保存方法を検討しておくといったことも挙げられます。

A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護

4つ目が、個人情報保護に関する法令等をしっかり守って個人情報を保護できる体制を構築しておくことです。現在では、個人情報を利用する全ての事業者は個人情報保護法の対象となっているため、この点については、「しっかり今まで通り個人情報保護法の順守に努めましょう」ということにつきます。
ただ、一点気を付けるべきポイントとしては、日本以外の国の個人情報に関するルールが適用される場合についてです。その対象となる場合は、当該ルールについてもしっかりと守る必要があります。

A.18.1.5 暗号化機能に対する規制

最後が、暗号化機能は法令や規制を守って利用しましょうということです。例えば、いわゆる外為法の規制対象になるような高度な暗号化技術を使った装置などを輸出したり、利用したりする場合には、当該国の暗号化に関する法規制に従いましょうといったことが挙げられます。

この章のまとめとしては、はじめに関係する法令やルールなどを把握した上で、より誰もがかかわる可能性のある重要なテーマのルールについて言及をしているという認識をしていただけるとわかりやすいのではないでしょうか。とにもかくにも、社会的なルールはしっかり守りましょうということです。

A.18.2 情報セキュリティのレビュー

どのようなルールでも、作るだけでなく、しっかり実行されているか、守られているかが大切です。

この章の目的は、ルール通りに情報セキュリティが運用されているようにする、ということであり、そのために3つのことが提示されています。

A.18.2.1 情報セキュリティの独立したレビュー

まずは、情報セキュリティに関する取り組みの実施などについて、独立した視点でレビューをして適切かつ有効な取り組みであり続けるようにしましょうということです。その上で、経営層に結果を報告することでしっかり反映させていきます。

基本的には、内部監査やマネジメントレビューに合わせて実施することが多いフェーズになります。その上で追加の点として、規格本文上で要求された定められた間隔以外に、「重大な変化が生じた場合」という言葉が入っており、つまり定期的なPDCA以外にも事業拡大や移転などの大きな変化があったときにも監査などを実施することが求められています。

A.18.2.2 情報セキュリティのための方針群及び標準の順守

続いて、ルールがしっかり守られているかレビューを実施しましょうということです。ここでの取り組みは、内部監査に加えて、月次でセキュリティチェックを実施するといったことも有効な活動として挙げられます。

A.18.2.3 技術的順守のレビュー

最後は、システムなど技術的な面での設定がルール通りかレビューしましょうということです。例えば、ネットワークの設定で、ルールで定めた通り不要なポートは閉じていますか、IP制限した通りにアクセスを防げていますかといったことについてテストをしてみる、定めた通りにスクリーンセーバーやセキュリティソフトの自動更新設定が行われているか確認をするといったことが挙げられます。

この章のまとめとしては、しっかりとルールが運用されているか、守られているか、設定どおりの結果になっているか確認をして、有効な仕組みであり続けるようにしていきましょうということになるのではないでしょうか。

まとめ

実は、A.18がISMS規格の附属書Aで最後の章になります。つまり、「ISMSをわかりやすく解読する」シリーズを今回まで見ていただくと、規格の全体像をつかんでいただけるということになります。

ISMS規格は難解な表現や抽象的や表現が多く登場するので、具体的に何が言いたいのかといったことをつかみづらいという方が大多数だと思います。そんな皆様にとって、規格理解の一助として本シリーズを参照していただければ幸いです。

具体的なISMSのお取り組み等について、ご不明点等ございましたら、お気軽にお問合せ下さい。

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする