公開:

ISO/IEC27001:2022附属書A新管理策「8.9構成管理」解説

情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。管理策とは、ISO/IEC27001の附属書Aに記載された情報セキュリティリスク対策です。

このコラムでは、新規格であるISO/IEC27001:2022(JIS Q 27001:2023)への改訂にあたり新たに設けられた管理策を順次解説します。

前回のテーマは「7.4物理的セキュリティの監視」の解説でした。5回目のテーマは、「8.9構成管理」の解説です。

管理策「8.9 構成管理」内容

ICTシステムを構成するハードウェア、ソフトウェア、サービスやネットワークの構成を定義し、誤った変更等による連鎖的な不具合や劣化を避けることを目的とした予防の管理策です。例えば、サーバー構築の際の構成の管理などを挙げることができます。

具体的には、次のことを推奨しています。

  1. 1.あるべき構成を定義し
  2. 2.管理のための役割・責任・手順を定めて
  3. 3.それにしたがって管理(ライフサイクルや版の管理)する

また、構成要素(ハードウェアやソフトウェア等)自体はそれぞれの目録(台帳)にリンクする等で管理することなども推奨しています。

管理策の実装例

  • セキュリティ要件を考慮したあるべき構成を示すシステム構成図やネットワーク構成図の作成
  • サーバー構築等でテンプレートを使用している場合、使用するテンプレートの管理(版管理等)
  • 構成を変更する際のリスク分析の実施
  • 構成変更した際の記録作成

「8.9 構成管理」などのISMS管理策の解説や規格改訂について、その他ご質問・ご相談がありましたら、ご遠慮なくお声がけください。

次回は、「8.10 情報の削除」を解説します。

一覧へ

まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください

受付時間:平日 9:00~18:00