ISO27001:2005の附属書A　詳細管理策

A.5.1情報セキュリティ基本方針、A.5.1.1情報セキュリティ基本方針文書、A.5.1.2情報セキュリティ基本方針のレビュー

A.6.1内部組織、A.6.1.1情報セキュリティに対する経営陣の責任、A.6.1.2情報セキュリティの調整、A.6.1.3情報セキュリティ責任の割当て、A.6.1.4情報処理設備の認可プロセス、A.6.1.5秘密保持契約、A.6.1.6関係当局との連絡、A.6.1.7専門組織との連絡、A.6.1.8 情報セキュリティの独立 したレビュー
A.6.2外部組織、A.6.2.1 外部組織に関係したリスクの識別、A.6.2.2 顧客対応におけるセキュリティ対処、A.6.2.3 第三者との契約における セキュリティ対処絡

A.7.1資産に対する責任、A.7.1.1資産目録、A.7.1.2 資産の保有者、A.7.1.3 資産利用の許容範囲
A.7.2情報の分類、A.7.2.1 分類の指針、A.7.2.2 情報のラベル付け及び取扱い

A.8.1雇用前、A.8.1.1役割及び責任、A.8.1.2選考、A.8.1.3雇用条件
A.8.2雇用期間中、A.8.2.1経営陣の責任、A.8.2.2情報セキュリティの意識向上、教育及び訓練、A.8.2.3懲戒手続
A.8.3雇用の終了又は変更、A.8.3.1雇用の終了又は変更に関する責任、A.8.3.2資産の返却、A.8.3.3アクセス権の削除

A.9.1セキュリティを保つべき領域、A.9.1.1物理的セキュリティ境界、A.9.1.2物理的入退管理策、A.9.1.3オフィス、部屋及び施設のセキュリティ、A.9.1.4外部及び環境の脅威からの保護、A.9.1.5セキュリティを保つべき領域での作業、A.9.1.6一般の人の立寄り場所及び受渡しの場所
A.9.2装置のセキュリティ、A.9.2.1装置の設置及び保護、A.9.2.2サポートユーティリティ、A.9.2.3ケーブル配線のセキュリティ、A.9.2.4装置の保守、A.9.2.5構外にある装置のセキュリティ、A.9.2.6装置の安全な処分又は再利用、A.9.2.7装置の移動

A.10.1運用の手順及び責任、A.10.1.1操作手順書、A.10.1.2変更管理、A.10.1.3職務の分割、A.10.1.4開発施設,験施設及び運用施設の分離
A.10.2 第三者が提供するサービスの管理、A.10.2.1第三者が提供するサービス、A.10.2.2第三者が提供するサービスの監視及びレビュー、A.10.2.3第三者が提供するサービスの変更に対する管理
A.10.3システムの計画作成及び受入れ、A.10.3.1容量・能力の管理、A.10.3.2システムの受入れ
A.10.4悪意のあるコード及びモバイルコードからの保護、A.10.4.1 悪意のあるコードに対する管理策、A.10.4.2モバイルコードに対する管理策
A.10.5バックアップ、A.10.5.1情報のバックアップ
A.10.6ネットワークセキュリティ管理、A.10.6.1ネットワーク管理策、A.10.6.2ネットワークサービスのセキュリティ
A.10.7媒体の取扱い、A.10.7.1取外し可能な媒体の管理、A.10.7.2媒体の処分、A.10.7.3情報の取扱手順、A.10.7.4システム文書のセキュリティ
A.10.8.1情報交換の方針及び手順、A.10.8.2情報交換に関する合意、A.10.8.3配送中の物理的媒体、A.10.8.4電子的メッセージ通信、A.10.8.5業務用情報システム
A.10.9電子商取引サービス、A.10.9.1電子商取引、A.10.9.2オンライン取引、A.10.9.3公開されている情報
A.10.10監視、A.10.10.1監査ログ取得、A.10.10.2システム使用状況の監視、A.10.10.3ログ情報の保護、A.10.10.4実務管理者及び運用担当者の作業ログ、A.10.10.5障害のログ取得、A.10.10.6クロックの同期

A.11.1アクセス制御に対する業務上の要求事項、A.11.1.1アクセス制御方針
A.11.2 利用者アクセスの管理、A.11.2.1 利用者登録、A.11.2.2 特権管理、A.11.2.3利用者パスワードの管理、A.11.2.4利用者アクセス権のレビュー
A.11.3 利用者の責任、A.11.3.1パスワードの使用、A.11.3.2無人状態にある利用者装置、A.11.3.3クリアデスク・クリアスクリーン方針
A.11.4 ネットワークのアクセス制御、A.11.4.1ネットワークサービスの利用についての方針、A.11.4.2外部から接続する利用者の認証、A.11.4.3ネットワークにおける装置の識別、A.11.4.4遠隔診断用及び環境設定用ポートの保護、A.11.4.5ネットワークの領域分割、A.11.4.6 ネットワークの接続制御、A.11.4.7ネットワークルーティング制御
A.11.5オペレーティングシステムのアクセス制御、A.11.5.1セキュリティに配慮したログオン手順、A.11.5.2利用者の識別及び認証、A.11.5.3パスワード管理システム、A.11.5.4システムユーティリティの利用、A.11.5.5 セッションのタイムアウト、A.11.5.6 接続時間の制限
A.11.6業務用ソフトウェア及び情報のアクセス制御、A.11.6.1情報へのアクセス制限、A.11.6.2取扱いに慎重を要するシステムの隔離
A.11.7モバイルコンピュ一ティング及びテレワーキング、A.11.7.1モバイルのコンピューティング及び通信、A.11.7.2 テレワーキング

A.12.1情報システムのセキュリティ要求事項、A.12.1.1セキュリティ要求事項の分析及び仕様化
A.12.2業務用ソフトウエアでの正確な処理、A.12.2.1入力データの妥当性確認、A.12.2.2内部処理の管理、A.12.2.3メッセージの完全性、A.12.2.4出力データの妥当性確認
A.12.3暗号による管理策、A.12.3.1暗号による管理策の利用方針、A.12.3.2かぎ（鍵）管理
A.12.4システムファイルのセキュリティ、A.12.4.1運用ソフトウェアの管理、A.12.4.2システム試験データの保護、A.12.4.3プログラムソースコードへのアクセス制御
A.12.5開発及び支援プロセスにおけるセキュリティ、A.12.5.1変更管理手順、A.12.5.2オペレーティングシステム変更後の業務用ソフトウェアの技術的レビュー、A.12.5.3パッケージソフトウェアの変更に対する制限、A.12.5.4情報の漏えい、A.12.5.5外部委託によるソフトウェア開発
A.12.6技術的ぜい弱性管理、A.12.6.1技術的ぜい弱性の管理

A.13.1情報セキュリティの事象及び弱点の報告、A.13.1.1情報セキュリティ事象の報告、A.13.1.2セキュリティ弱点の報告
A.13.2情報セキュリティインシデントの管理及びその改善、A.13.2.1責任及び手順、A.13.2.2情報セキュリティインシデントからの学習、A.13.2.3証拠の収集

◆ハインリッヒの法則
アメリカの安全技師ハインリッヒは、労働災害の事例の統計を分析した結果「1:29:300」や「ヒヤリ・ハット」の言葉で知られている法則を提唱した。
それによると「１件の重大事故が発生する背景には、29件の軽微な事故があり、300件の無償事故(ヒヤッとしたり、ハットしたこと)がある。さらに、その下には認識されない(気づかない、無視されている)数多くの不安定行動や不安定状態がある。」である。
　重大事故はめったに起こらないと言い切れない。原因となる不安定な要素がある場合には、重大事故はいつでも起こりうることを示唆している。

A.14.1事業継続管理における情報セキュリティの側面、A.14.1.1事業継続管理手続への情報セキュリティの組込み、A.14.1.2事業継続及びリスクアセスメント、A.14.1.3情報セキュリティを組み込んだ事業継続計画の策定及び実施、A.14.1.4事業継続計画策定の枠組み、A.14.1.5事業継続計画の試験、維持及び再評価

A.15.1法的要求事項の順守、A.15.1.1適用法令の識別、A.15.1.2知的財産権（IPR）、A.15.1.3組織の記録の保護、A.15.1.4個人データ及び個人情報の保護、A.15.1.5情報処理施設の誤用防止、A.15.1.6暗号化機能に対する規則
A.15.2セキュリティ基本方針及び標準の順守、並びに技術的コンプライアンス、A.15.2.1セキュリティ方針及び標準の順守、A.15.2.2技術的コンプライアンスの点検
A.15.3情報システム監査に対する考慮事項、A.15.3.1情報システム監査に対する管理策、A.15.3.2情報システム監査ツールの保護