４．２．１g)　(管理目的と管理策)

　リスクに対応する為の『管理目的』や『管理策(手だて)』を決めて下さい。

管理目的や管理策は、ISO27001の付属書Ａから選択する事を前提にして下さい。もちろんその選択は、4.2.1e,f)で行ったリスクアセスメントやリスク対応策の選択と合っていなければなりません。

付属書Ａに書かれているのが、世の中の全ての管理目的・管理策ではありませんから、付属書Ａ書かれている以外の管理策を選択してもよいです。

　【解説】付属書ＡはISO17799に基づいて書かれていますが、これはBS7799-1：99からあまり
　　内容が変わっていません。という事は、97〜98年の情報技術に基づいて書かれているわけ
　　で、今の時代に完全に対応するのは不可能です。
　　　例えば、P2Pファイル共有ソフト、インスタントメッセンジャ、ブロードバンドでのインターネット、
　　無線LAN、書き込み可能DVD、LANディスク、L3スイッチ、VLAN、GビットLAN、VPN、広域
　　イーサネット、高機能携帯電話．．．．現在当たり前に利用している多くの技術が、存在しない
　　か普及していませんでした。
　　　ですから、ほとんどのケースでは付属書Ａに書かれていない管理策を実施することになる
　　でしょう。忘れずに、適用宣言書に盛り込んで下さい。


　【解説】JIS版では、「管理目的及び管理策は、付属書Ａから選択すること」としていますので、
　　「付属書Ａに書かれていない管理策を選択してはいけない」かの様な誤解が起きかねません。
　　　もちろん、次の段落や”参考”欄にある様に、『出発点的に付属書Ａを読んで、それを取捨
　　選択して、その後追加的な管理策を考える』という様にして下さい。
　　　その点、旧JIPDEC基準ではうまく変換していました。



　　　　　　　　　　　目次へ　　　　　　全体のトップへ　　　　　　表示色の原則