公開:

ISO/IEC27001:2022附属書A新管理策「5.30事業継続のためのICTの備え」解説

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。

このコラムでは、新規格であるISO/IEC27001:2022(JIS Q 27001:2023)への改訂にあたり新たに設けられた管理策を順次解説します。

前回のテーマは「5.23クラウドサービスの利用における情報セキュリティ」の解説でした。今回3回目のテーマは、「5.30事業継続のためのICTの備え」の解説です。

管理策「5.30 事業継続のためのICTの備え」内容

事業継続を実現するために必要なICT資源を特定し、特定されたICT資源の可用性を担保するための日常の準備と有事の際の活動計画(事業継続計画の一部とお考えください)の策定を推奨しています。また、策定された計画は試験をして改善することを推奨しています。なお、ICT資源にはPC等の物理的な資産に加え、ネットワークそのものや、通信サービス等の外部から提供されるサービス資源等も含まれます。

管理策の実装例

  • 事業継続計画を策定する際に、各事業を構成する業務において必要な資源を特定し、特定する対象にICT資源を含める(所謂ビジネスインパクト分析を実施する際にICT資源も特定する)。
  • 特定されたICT資源を対象としたリスク分析を実施し、リスク対応を事業継続計画に反映する。
  • 策定された計画の演習を実施し、結果に応じて計画を見直す。

次回は、「7.4物理的セキュリティの監視」を解説します。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00