プライバシーマークってどんなものなの?

附属書Aは、情報セキュリティ対策として推奨をされる事柄を扱った規格書である「ISO27002」を元にしていて、あれこれな側面からの情報セキュリティ対策が取り上げられています。ISO27001(ISMS)では、大事なリスクから重みをつけて対処をするという姿勢が求められてます。

 

ISO27001(ISMS)の規格書には、「附属書A」という規程文があります。ISO27002は「実践規範」の規格で、組織が情報セキュリティの対策をするにあたって参考とするガイドラインの位置づけになってます。

 

セキュリティ対策(管理策)を採用する事によるリスクの「低減」のほか、リスクのレベル(水準)やその他の基準を明確にする上でのリスクの「受容」、情報資産利用の中止による「回避」、外部供給者へのリスクの「移転」という選択肢検討を踏まえた上での意思決定が必要です。リスク低減をはかるためにセキュリティ対策を検討する際、ISO27001(ISMS)では附属書Aに掲載をされた133の管理策をセキュリティ対策の出発点とし、組織の状況に応じて採否を検討することを求めています。

 

余談になりますが、ISO27001(ISMS)は「要求事項」とよばれる規格で、組織が情報セキュリティマネジメントシステムに必要な事項を規程していて、審査のときの基準となるものです。組織が附属書Aにない管理策を採用する事も可能で、そのときは「適用宣言書」に追加の管理策とその採用理由を記述する事となります。