収益向上にも繋がるプライバシーマーク

ちなみに、ISO27001(ISMS)は「要求事項」といわれる規格で、組織が情報セキュリティマネジメントシステムに必要な事項を規程していて、審査のときの基準となるものです。
ISO27001(ISMS)では、重要な重みをリスクからつけて対処するという姿勢が求められてます。
ISO27002は「実践規範」の規格で、組織が情報セキュリティの対策をするにあたり参考とするガイドラインの位置づけになってます。

 

附属書Aは、情報セキュリティ対策として推奨をされる事柄を扱った規格書である「ISO27002」を元にしていて、いろんな側面からの情報セキュリティ対策が取り上げられてます。
組織が附属書Aにない管理策を採用することも可能で、その時は「適用宣言書」に追加の管理策とその採用理由を記述する事となります。
ISO27001(ISMS)の規格書には、「附属書A」という規程文があります。
リスク低減を図るためにセキュリティ対策を検討する際、ISO27001(ISMS)では附属書Aに掲載された133の管理策をセキュリティ対策の出発点とし、組織の状況に応じて採否を検討する事を求めています。
セキュリティ対策(管理策)を採用する事によるリスクの「低減」のほか、リスクのレベル(水準)やそれ以外の基準を明確にする上でのリスクの「受容」、情報資産利用の中止による「回避」、外部供給者へのリスクの「移転」という選択肢検討を踏まえた上での意思決定が必要デス。