03-3580-0951
ISO/IEC27000シリーズの概要
ISO/IEC27000シリーズの概要
ISO/IEC 27001:2005「Information technology-Security techniques – Information security management systems – Requirements:日本語翻訳JIS Q 27001 情報技術 ― 情報セキュリティマネジメントシステム ― 要求事項」は、情報セキュリティマネジメントシステム(ISMS)のファミリー規格の第一弾で、BS7799第2部を元に発行された。
この規格は,情報セキュリティマネジメントシステム(ISMS)を確立,導入,運用,監視,レビュー,維持及び改善するためのモデルを規定するものである。ISMS の設計及び実施は,組織のニーズ及び目的,セキュリティ全般への要求,組織の規模及び構造によって影響を受けるので,ニーズに従って調整することが必要になってくる。この規格は,組織内及び/又は組織外の利害関係者が適合性のアセスメントを実施するために使用するために用いることができる。これにより,組織の情報セキュリティマネジメントシステムの実施状況を把握することが可能となり,セキュリティの高度化を図ることができるものである。
ISO/IEC 27002:2007「Information technology-Security techniques – Code of practice for information security management:日本翻訳JIS Q 27002 情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントの実践のための規範」は、BS7799第1部を元に一旦ISO/IEC17799:2005となったが、2007年4月に衣替えになって発行された。この規格は、情報セキュリティ対策のベストプラクティスとして様々な管理策を記載しており、組織は、これらの管理策から適宜、取捨選択して自社にあった管理策を構築できる。
ISO/IEC27005:2008「Information technology – Security techniques – Information security risk management: 情報技術―セキュリティ技術―情報セキュリティリスクマネジメント」は、情報セキュリティのリスクマネジメントのガイドラインである。
ISO/IEC27006:2007「Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems: JIS Q 27006 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムの監査及び認証を行う機関に対する要求事項」は、情報セキュリティマネジメントシステムの認証機関のための要求事項で、認証機関はこれとISO/IEC17021に従って審査認証を行うことが要求される。
この他、情報セキュリティマネジメントシステムの実施のために必要なPDCAプロセスに関わる詳細な助言、適用範囲や基本方針作成や、情報資産特定のガイドなどが盛り込んだガイドライン規格ISO/IEC27003:2010、情報セキュリティの管理策の測定基準や測定値を取り扱うISO/IEC27004:2009、概要と用語を扱うISO/IEC27000:2009が発行されている。