ISO 27001情報セキュリティマネジメントシステム
さまざまな情報資産を守り有効に活用するためのマネジメントシステム規格。ISO 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。情報の機密性・完全性・可用性の3つをバランス良くマネジメントし、情報を有効活用するための組織の枠組みを示しています。
業種・業態を問わず、あらゆる組織が利用し、認証を取得することができます。
規格の目的は、「ISMSの確立・実施・維持・継続的な改善、情報セキュリティのリスクアセスメントおよびリスク対応」です。
認証取得の効果
認証取得によって下記の効果が期待できます。
- 規制および顧客の要件を満たすことによるデューデリジェンスの実証
- セキュリティに関する国際的なベストプラクティスを満たす
- 顧客、サプライヤー、その他の利害関係者に対するデータの完全性を実証
- 詐欺、情報の損失、開示のリスクを軽減
- サイバー攻撃に対するレジリエンスの向上
- データ漏洩の迅速な検出と侵害への迅速な対応
- 情報セキュリティ関連コストの削減
- あらゆる形式の情報を確保し、データの機密性、整合性、可用性を確保
- 職場の守秘義務の確保と企業文化の改善
ISO 27001:2022の構成
- 序文
- 0.1 概要
- 0.2 他のマネジメントシステム規格との両立性
- 1 適用範囲
- 2 引用規格
- 3 用語及び定義
- 4 組織の状況
- 4.1 組織及びその状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- 4.4 情報セキュリティマネジメントシステム
- 5 リーダーシップ
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
- 5.3 組織の役割,責任及び権限
- 6 計画
- 6.1 リスク及び機会に対処する活動
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- 7 支援
- 7.1 資源
- 7.2 力量
- 7.3 認識
- 7.4 コミュニケーション
- 7.5 文書化した情報
- 8 運用
- 8.1 運用の計画及び管理
- 8.2 情報セキュリティリスクアセスメント
- 8.3 情報セキュリティリスク対応
- 9 パフォーマンス評価
- 9.1 監視,測定,分析及び評価
- 9.2 内部監査
- 9.3 マネジメントレビュー
- 10 改善
- 10.1 不適合及び是正処置
- 10.2 継続的改善
- 付属書A(規定)管理目的及び管理策
ISO/IEC 27002 :2022 ISMSの管理策
組織的管理策(37)、人的管理策(8)、物理的管理管理策(14)、技術的管理策(34)
| 属性の種類 | 属性の中身 |
|---|---|
| コントロール種別 | 予防的;発見的;是正的 |
| 情報セキュリティ特性 | 機密性;完全性;可用性 |
| サイバーセキュリティ概念 | 特定;防御;検知;対応;復旧 |
| 運用能力 | ガバナンス;資産管理;情報保護;人的資源セキュリティ;物理セキュリティ;システムとネットワークセキュリティ;アプリケーションセキュリティ;セキュア設定;識別とアクセス管理;脅威と脆弱性管理;継続性;供給者関係セキュリティ;法務・コンプライアンス;情報セキュリティ事象管理と情報セキュリティ保証 |
| セキュリティドメイン | ガバナンスとエコシステム;保護;防御;レジリエンス;属性 |
| ISO/IEC 27002:2022 「4.2 テーマと属性」より | |
認証に必要な書類およびシステム要件
| 方針宣言 | ・情報資産の安全管理についての公約 ・審査目標(通常はマネジメントレビュー)についてのフレームワークの提供 |
|---|---|
| 管理マニュアル | ・ISO 27001の全条項に対応 ・任意の他の手順を含めることも可能 ・組織的構造および責任の記述 ・情報資産のリスク評価および管理方法の記述 |
| 作業指示書および手順 | ・関連作業についての具体的な指示 ・しばしば情報管理マニュアルに分別 ・使用するための配布および文書の管理 |
| 継続的改善および計画 | ・是正措置および予防措置の実施法 |
| 実施 | ・システムの正常稼動の証拠 ・訓練された/ 能力のある担当スタッフおよび新規スタッフの採用 |