ISO/IEC 27000シリーズ
概要
ISO/IEC 27000シリーズとは、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で策定している、情報セキュリティマネジメントシステム(ISMS)に関する一連の標準規格群。企業などが組織的に情報セキュリティ対策に取り組む際に必要な事項などを定めている。ISOとIECの合同作業部会(JTC1)が策定した規格群で、企業などの組織が情報セキュリティ管理を行う際のベストプラクティスやガイドラインを提供する。日本では同等の内容が日本産業規格(JIS規格)「JIS Q 27000シリーズ」として発行されている。
「ISO/IEC 27000」は「ISO/IEC 27001」「ISO/IEC 27002」などの一連の規格群(ISMSファミリ規格)の総称であると共に、「ISO/IEC 27000」という個別の規格も設けられている。この規格ではISMSファミリ規格群の目的や概要を示し、共通する用語の定義を列挙している。
ISO/IEC 27001
2005年に初版が発行された規格で、組織の情報セキュリティ管理が一定の水準を満たしていることを認定する「ISMS認証」の要求事項を定義している。日本では2006年に「JIS Q 27001」として同等の国内規格が発行されている。
ISMS認証制度は各国の認定機関が対象組織を審査し、ISO/IEC 27001の要求する事項を達成している場合にこれを認証するもので、日本では「ISMS適合性評価制度」の名称で一般社団法人情報マネジメントシステム認定センター(ISMS-AC)が制度を運用している。
ISO/IEC 27002
情報セキュリティ管理を実践するためのベストプラクティス(実践規範)をまとめた規格。英国規格の「BS 7799」を元に2000年に策定された「ISO/IEC 17799」が2005年に改訂され、規格番号が改められISO/IEC 27000シリーズに編入された。日本では2006年に同等の内容が「JIS Q 27002」として発行されている。
組織が情報セキュリティ管理を実践するための指針として、基本方針、組織、資産管理、人的セキュリティ、物理セキュリティ、通信ネットワーク、アクセス制御、システム開発・保守、セキュリティインシデント管理、事業継続、コンプライアンスの12章に分けて規範が紹介されている。
共有ボタンをタップ