ISO/IEC27001:2022附属書A新管理策「5.30事業継続のためのICTの備え」解説
公開:
ISO/IEC27001:2022附属書A新管理策「5.30事業継続のためのICTの備え」解説
情報セキュリティマネジメントシステム(ISMS)の要求事項であるISO/IEC27001の改訂版が、2022年版として2022年10月25日に発行されました。また、JIS版が、JIS Q 27001:2023として2023年9月20日に発行されました。管理策とは、ISO/IEC27001の附属書Aに記載された情報セキュリティリスク対策です。
このコラムでは、新規格であるISO/IEC27001:2022(JIS Q 27001:2023)への改訂にあたり新たに設けられた管理策を順次解説します。
前回のテーマは「5.23クラウドサービスの利用における情報セキュリティ」の解説でした。今回3回目のテーマは、「5.30事業継続のためのICTの備え」の解説です。
管理策「5.30 事業継続のためのICTの備え」内容
事業継続を実現するために必要なICT資源を特定し、特定されたICT資源の可用性を担保するための日常の準備と有事の際の活動計画(事業継続計画の一部とお考えください)の策定を推奨しています。また、策定された計画は試験をして改善することを推奨しています。なお、ICT資源にはPC等の物理的な資産に加え、ネットワークそのものや、通信サービス等の外部から提供されるサービス資源等も含まれます。
管理策の実装例
- 事業継続計画を策定する際に、各事業を構成する業務において必要な資源を特定し、特定する対象にICT資源を含める(所謂ビジネスインパクト分析を実施する際にICT資源も特定する)。
- 特定されたICT資源を対象としたリスク分析を実施し、リスク対応を事業継続計画に反映する。
- 策定された計画の演習を実施し、結果に応じて計画を見直す。
「5.30 事業継続のためのICTの備え」などのISMS管理策の解説や規格改訂について、その他ご質問・ご相談がありましたら、ご遠慮なくお声がけください。
次回は、「7.4物理的セキュリティの監視」を解説します。
まずは、お電話またはフォームより
お問い合わせ・お見積り、もしくは資料請求をください
受付時間:平日 9:00~18:00