2020年9月30日 ISMAP制度研修会におけるご質問事項と回答

2020年9月30日に開催したISMAP制度研修会にご参加いただきありがとうございます。アンケートを通じて頂いたご質問事項に対する回答を
ご参加の皆様に共有いたします。ISMAPに関する今後の活動のご参考になれば幸いです。

<掲載期間:2020年11月2日~12月25日 17:00まで>
========================================
質問1 3桁の管理基準は必須と聞きましたが、ISO27001では3桁の管理基準は選択項目になっています。クラウドのサービスによって必須となりづらい3桁の管理基準の項目は存在しないと思って良いのでしょうか?お教えください。

回答 ご認識の通り、3桁管理策とよばれる統制目標については原則必須です。一方で、合理的に適用が不可能な3桁管理策については、その理由を示すことで対象外とすることが可能です。例えば、クラウドサービスの提供形態によって実施が出来ないものがある場合などです。

========================================
質問2 標準化監査手続きが、ISMAP監査機関にしか開示されないのはどのような理由でしょうか。

回答 標準監査手続は、CSPが管理基準に従って個別管理策が適切に実装・運用しているかを監査で確認するものです。この標準監査手続を広く公開すると以下の問題が発生することを念頭に、ISMAP監査機関のみに限定公開するものです。
・CSPの立場:標準監査手続を入手すると、事前にどのように対策を講じるべきか(実際の実装・運用と異なり)の情報を与えることになる。
・一般の監査機関:標準監査手続を踏まえてCSPに対策を指南するコンサル活動が可能となるが、これはCSPに公開することと同義となるため

========================================
質問3 「登録に向けたプロバイダ側の作業について」の説明スライドの最終ページは、あくまで管理策基準と監査証跡の対応例であって、言明書別添をこう書くのではないという理解でよろしいでしょうか。言明書別添には、4桁管理策一つひとつについて、具体的な個別管理策の記述が求められると認識しております。最終ページに記載の表の見出しに「統制内容」とあり、統制内容として「○○に付随する文書類およびその記録」という文が書かれているように見えたので気になりました。

回答 ご認識の通り、言明書別添には4桁管理策一つひとつについて、具体的な個別管理策の記述をお願いします。研修会の説明資料の最終ページは、あくまで説明用に用意したもので実際の記載とは異なります。

========================================
質問4 選択制となる4桁管理策ですが、目処として、どれくらいの数最低限選択していた方が良いなどの大体の目処はありますか?(例えば、最悪3桁管理策の中で1つずつ + 必須の4桁管理策だけでも、その理由が記載されていれば良いのか、適用するサービス・機能自体がない、補完統制がある等の理由がない限りは全て選択すべきか、等。)各CSPによってバラツキがでると想定しますが、多く選択するほど当該コントロールのメンテナンス含めコストにも影響するため、おおよその目処を知りたいというのが背景にあります。

回答 最低限の4桁管理策数の目処はありません。4桁管理策の選択はリスク評価結果に基づき行われるものであり、合理的な理由があれば、例示された「3桁管理策の中で1つずつ + 必須の4桁管理策」でも構いません。ただし、多くの場合はそのようにはならないと考えます。
コストに影響することは理解いたしますが、制度の趣旨をご理解の上、ご対応下さい。