オルタナティブ・ブログ > IT雑貨屋、日々のつづり >
RSS
IT雑貨屋、日々のつづり

IT業界につとめる「雑貨屋(なんでも屋)」が、業界の事、情報セキュリティの事、趣味や日々雑感を綴っていきます。お暇な方はおつきあい下さい。

【情セキ.009】ISMSの規程類について

»

 佐藤@IT雑貨屋です。

 2週間ほど、力入れて書いてきましたが、少し息切れしてきました。少しペースを落として書かせて貰いますので、よろしくお願いします。

 今回はISMS(情報セキュリティマネジメントシステム)の規程類についてまとめてみます。
 ここには日本語約としてJIS規格があれば併記していますが、未だJIS規格として制定されていない規程類もあります。だただJSA(日本規格協会)のHPでは翻訳版が出版されていますので、確認してみると良いでしょう。(翻訳版は結構な値段となっています)
 これら規程類は読んで頂ければわかりますが、汎用性を持たせている為なのか、読んでみてもいまいち「意味不明」という内容が書かれています。恐らく世にある規程というものは、そういった性質のものなのかもしれません。でも良く読みこんでみると、そこにある意義とか目的が解ってくるものです。ただ一般的な値段からすると、少し高価なので中々手に取って読んでみるという気持ちにはならないかもしれませんね。

◆ISO/IEC 27000:2018(日本語版 JIS Q 27000:2019)
 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムー用語
 ISMSファミリーの規格や概要、使用される用語について規定されています。

◆ISO/IEC 27000:2022(日本語版 JIS Q 27001:2014(旧版))
 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムー要求事項
 組織がISMSを確立、導入、運用、監視、レビュー、維持し継続的に改善するための要求事項を規定しています。付属書Aでは、組織の情報セキュリティリスクを軽減するための管理目的と、管理木庭を達成するための具体的な管理策が示されています。

◆ISO/IEC 2702:2022(日本語版 JIS Q 27002:2014(旧版))
 情報セキュリティ、サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策
 情報セキュリティ対策のベストプラクティスとして様々あ管理策が記載されています。組織が適用宣言書(情報セキュリティを確保するという宣言。基本方針)の作成にあたっては、これら管理策を参照し、自組織に合った管理策を構築できる様にするための規格です。新版ではISO/IEC 27001の付属書Aとの整合性が取られています。

◆ISO/IEC 27003:2017
 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムの手引
 ISMSを確立、導入、運用、監視、レビュー、維持及び改善するためのガイダンス規格です。

◆ISO/IEC 27004:2016
 情報技術-情報セキュリティ技術-情報セキュリティマネジメントー監視、測定、分析及び評価
 情報セキュリティの実施及び管理に使用すべきISMS、管理目的及び管理策の有効性を評価するための測定方法の開発及び使用に関するガイダンス規格です。

◆ISO/IEC 27005:2022
 情報技術-セキュリティ技術-情報セキュリティマネジメント
 情報セキュリティのリスクマネジメントのガイドラインです。

◆ISO/IEC 27006:2015(日本語版 JIS Q 27006:2018)
 情報技術-セキュリティ技術-情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項
 情報セキュリティマネジメントシステムの認証機関のための要求事項です。ISMS-PIMS認証機関として認定される場合に必要となる。追加の要求事項及び指針として、ISO/IEC TS 27006-2021が発行されています。
 こちらの規程は認証機関に対するものなので、一般的には参照不要ですね。

◆ISO/IEC 27007:2020
 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム監査のための指針
 ISMS監査に関するガイドライン規格です。

◆ISO/IEC 27014:2020
 情報技術-セキュリティ技術-情報セキュリティガバナンス
 情報セキュリティのガバナンスに関する規格です。

◆ISO/IEC 27017:2015(日本語版 JIS Q 27017:2016))
 情報技術-セキュリティ技術-JIS Q 27002に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範
 クラウドサービスの情報セキュリティ管理策の実施に関する規格です。

 上記の他にも、次のような各業界に適用するための規格もあります。

◆ISO/IEC 27009:2020
 ISO/IEC 27001を各セクター(業界)に適用した規格を作成する際の、規格の記述方法、様式を定めた規格。

◆ISO/IEC 27010:2015
 セクター間および組織間コミュニケーションのための情報セキュリティマネジメントシステムに関する規格。

◆ISO/IEC 27011:2016
 電気通信業界内の組織でのISO/IEC 27002に基づく情報セキュリティマネジメントを導入を支援するガイドライン規格。

佐藤 洋之 2024/04/15 08:00:00 Comment(0)