ISO/IEC27000シリーズの概要

ISO/IEC 27000:2014「Information technology – Security techniques – Information security management systems – Overview and vocabulary:日本語翻訳JIS Q 27000:2014情報技術 ― 情報セキュリティマネジメントシステム ― 用語」は、情報セキュリティマネジメントシステム(ISMS)のファミリー規格の概要、ISMSファミリー規格において使用される用語について規定した規格です。

 

ISO/IEC 27001:2013「Information technology – Security techniques – Information security management systems – Requirements:日本語翻訳JIS Q 27001:2014 情報セキュリティマネジメントシステム ― 要求事項」は、情報セキュリティマネジメントシステム(ISMS)のファミリー規格の第一弾として、BS7799第2部を元に2006年に発行された第1版の改定第3版です。
この規格は、情報セキュリティマネジメントシステム(ISMS)を確立、導入、運用、監視、レビュー、維持及び改善するための要求事項を規定するものです。ISMS の設計及び実施は、組織の目的、規模及び構造、組織を取り巻く利害関係者のニーズ及び期待、セキュリティに関する要求によって影響を受けるので、セキュリティリスクに従って策定することが必要になってきます。この規格は、組織内及び/又は組織外の利害関係者が適合性のアセスメントを実施するために使用するために用いるように作られています。これにより、組織の情報セキュリティマネジメントシステムの実施状況を把握することが可能となり、情報セキュリティの信頼性の高度化を図ることができます。

 

ISO/IEC 27002:2013「Information technology-Security techniques – Code of practice for information security management:日本翻訳JIS Q 27002:2014情報技術 ― セキュリティ技術 ―情報セキュリティ管理策の実践のための規範」は、BS7799第1部を元に一旦ISO/IEC17799:2005が発行されましたが、2007年4月に規格番号が変更されて発行されました。この規格は、情報セキュリティ対策のベストプラクティスとして様々な管理策を記載しており、ISO/IEC 27001:2013の「付属書A 管理目的及び管理策」と整合されており、組織は、適用宣言書の作成にあたってこれらの管理策も参照して自社にあった管理策を構築できます。

 

ISO/IEC 27003:2010「Information technology — Security techniques — Information security management system implementation guidance 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムの実施の手引」は、ISMSを確立、導入、運用、監視、レビュー、維持及び改善するためのガイダンス規格です。

2013年5月にこの規格の改定作業を開始することが決定され、現在、標題を「Information technology — Security techniques — Information security management system -guidance」に変更する第2版の審議を開始しています。

 

ISO/IEC 27004:2009「Information technology — Security techniques — Information security management — Measurement 情報技術-セキュリティ技術-情報セキュリティマネジメント-測定 」は、情報セキュリティの実施及び管理に使用すべきISMS、管理目的及び管理策の有効性を評価するための測定方法の開発及び使用に関するガイダンス規格です。

2012年5月にこの規格の改定作業を開始することを決定し、現在、標題を「Information technology — Security techniques — Information security management system -Measurement」に変更し、適用範囲を変更する第2版の審議を開始しています。

 

ISO/IEC27005:2011「Information technology – Security techniques – Information security risk management: 情報技術―セキュリティ技術―情報セキュリティリスクマネジメント」は、情報セキュリティのリスクマネジメントのガイドラインです。

初版は2008年6月に発行され、ISO 31999:2009及びISO Guide 73:2009との整合化に限定した第2版が2011年に発行されました。

2012年5月にさらにこの規格の改定作業を開始することが決定され、現在、第3版に向けた改正審議が開始されています。

 

ISO/IEC27006:2011「Information technology – Security techniques – Requirements for bodies providing audit and certification of information security management systems: JIS Q 27006:2012 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムの監査及び認証を行う機関に対する要求事項」は、情報セキュリティマネジメントシステムの認証機関のための要求事項で、認証機関はこれとISO/IEC17021に従って審査認証を行うことが要求されます。

この第2版は改定されたISO/IEC 27001:2011との整合に限定して改定をしましたが、全般的な見直しの必要性が確認され、現在、改定審議が行われています。

 

ISO/IEC27007:2011「Information technology — Security techniques — Guidelines for information security management systems auditing 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム監査のための指針 」は、ISMS監査に関するガイドライン規格です。ISO19011:2011「マネジメントシステム監査のための指針」にISMS固有のガイダンスを提供するものです。

 

ISO/IEC TR 27008:2011「Information technology — Security techniques — Guidelines for auditors on information security controls 情報技術-セキュリティ技術-情報セキュリティ管理策の監査員のための指針」は、組織の情報セキュリティの管理策のレビューに関するガイドラインです。

 

この他、

  • ­ 部門間及び組織間コミュニケーションのための情報セキュリティマネジメントシステムに関する規格(ISO/IEC27010:2012)、
  • ­ 電気通信業界内の組織における、ISO/IEC27002に基づく情報セキュリティマネジメント導入を支援するガイドライン規格(ISO/IEC27011:2008)、
  • ­ ISO/IEC20000-1(情報技術-サービスマネジメント-第1部:サービスマネジメントシステム要求事項) 及びISO/IEC27001の統合実践に関するガイドライン規格(ISO/IEC27013:2012)、
  • ­ 情報技術のガバナンスに関する規格(ISO/IEC 27014:2013)、
  • ­ 金融サービスのための情報セキュリティマネジメントのガイドライン規格(ISO/IEC TR 27015:2012)

が発行されています。

また、セクター規格を作成する組織に対する、ISO/IEC27001:2013適用についての規格(ISO/IEC 27009)の制定審議が開始されています。

Copyright(c) 2017 JAPAN CHEMICAL QUALITY ASSURANCE LTD. All rights reserved.