ISO / IEC 27001：2013 –情報技術–セキュリティ技術–情報セキュリティ管理システム–要件（第2版）

<前の標準^レベルアップ^次の標準>

はじめに

ISO / IEC 27001は、情報セキュリティ管理システムを正式に指定しています。これは、情報リスク（標準では「情報セキュリティリスク」と呼ばれます）を管理するための一連の構造化されたアクティビティで構成されるガバナンスの取り決めです。 。

ISMSは、経営陣が組織の情報リスクを特定、評価、および処理（対処）するための包括的なフレームワークです。 ISMSは、セキュリティの脅威、脆弱性、およびビジネスへの影響の変化に対応するためにセキュリティの取り決めを微調整することを保証します。これは、このような動的な分野における重要な側面であり、ISO27kの柔軟なリスク主導型アプローチの主な利点です。たとえば、PCI-DSS。

この規格は、あらゆる業界（小売、銀行、防衛、ヘルスケアなど）のあらゆる規模（零細企業から巨大な多国籍企業まで）のあらゆる種類の組織（例：営利企業、政府機関、非営利団体）を対象としています。 、教育および政府）。これは明らかに非常に幅広い概要です。

ISO / IEC 27001は、特定の情報セキュリティ管理を正式に義務付けていません。必要な管理は、標準を採用するさまざまな組織で著しく異なるためです。 ISO / IEC 27002の情報セキュリティ管理は、メニューのように、ISO / IEC27001の付録Aに要約されています。 ISO / IEC 27001を採用している組織は、メニューにリストされているものを利用し、他のアラカルトオプション（拡張コントロールセットと呼ばれることもあります）を追加して、特定の情報リスクに適用できる特定の情報セキュリティコントロールを自由に選択できます。 ISO / IEC 27002と同様に、適用可能なコントロールを選択するための鍵は、組織の情報リスクの包括的な評価を行うことです。これは、ISMSの重要な部分の1つです。

さらに、経営陣は回避、共有することを選択できます。または、情報リスクを管理を通じて軽減するのではなく受け入れる-リスク管理プロセス内のリスク処理の決定。

履歴

ISO / IEC27001はBS 7799 Part 2から派生し、1999年にBritish StandardsInstituteによって最初に公開されました。

BS 7799 Part 2は2002年に改訂され、デミングスタイルが明示的に組み込まれています。 Plan-Do-Check-Actサイクル。

BS 7799パート2は、2005年にISO / IEC 27001の初版として採用され、新しいカストディアンを反映するためにさまざまな変更が加えられました。 。

ISO / IEC 27001の第2版は、他のISOマネジメントシステム規格に合わせて大幅に改訂され、2013年に発行されました。 PDCAはもはや明確ではありませんが、継続的な改善と体系的な改善の概念は確かに残っています。

規格の構造

ISO / IEC 27001：2013には次のセクションがあります。

0はじめに-規格は体系的に管理するためのプロセスを説明しています情報リスク。

1範囲-あらゆるタイプ、規模、または性質の組織に適した一般的なISMS要件を指定します。

2規範的な参照-ISO / IEC27000のみが絶対に不可欠であると見なされます27001のユーザー：残りのISO27k標準はオプションです。

3用語と定義-ISO / IEC27000を参照してください。

4組織のコンテキスト-組織のコンテキスト、ニーズを理解するおよび「利害関係者」の期待とISMSの範囲の定義。セクション4.4は、「組織はISMSを確立、実装、維持、継続的に改善する」と非常に明確に述べています。

5リーダーシップ-トップマネジメントは、ISMSに対するリーダーシップとコミットメントを示し、ポリシーを義務付け、情報セキュリティを割り当てる必要があります。役割、責任、および権限。

6計画-情報リスクを特定、分析、および処理するための計画を立て、情報セキュリティの目的を明確にするプロセスの概要を示します。

7サポート-適切、有能なリソースを割り当て、意識を高め、文書を作成して管理する必要があります。

8運用-情報リスクの評価と処理、変更の管理、および文書化についてもう少し詳しく説明します（一部は、

9パフォーマンス評価-情報セキュリティ管理、プロセス、および管理システムを監視、測定、分析、評価/監査/レビューし、必要に応じて体系的に改善します。

10改善ement-監査とレビューの結果に対処します（例：不適合および是正措置）、ISMSを継続的に改善します。

付録A参照制御の目的と制御-実際には、ISO / IEC 27002の制御セクションのタイトルのリストにすぎません。付録は「規範的」であり、認定された組織がそれを使用することが期待されていることを意味します、しかし本体は、特定の情報リスクに対処するために、自由に逸脱したり補足したりできると述べています。附属書Aだけでは解釈が難しい。実装ガイダンスを含む、コントロールのより有用な詳細については、ISO / IEC27002を参照してください。

参考文献-詳細については、5つの関連規格とISO / IEC指令のパート1を読者に示します。さらに、ISO / IEC 27000は、規格の本文で規範的な（つまり必須の）規格として識別されており、リスク管理に関するISO31000への参照がいくつかあります。

認証の必須要件

ISO / IEC 27001は、2つの異なる目的を持つISMSの正式な仕様です。

1. ISMSの設計をレイアウトし、重要な部分をかなり高いレベルで説明します。レベル;
2. 組織が準拠していることを証明するために、認定された認証監査人による正式な準拠評価の基礎として（オプションで）使用できます。

次の必須ドキュメント認証には明示的に必要です：

1. ISMSスコープ（4.3節による）
2. 情報セキュリティポリシー（5.2節）
3. 情報リスク評価プロセス（条項6.1.2）
4. 情報リスク処理プロセス（条項6.1.3）
5. 情報セキュリティ目標（条項6.2）
6. 情報セキュリティの能力の証拠情報セキュリティに携わる人々（7.2節）
7. 組織が必要と見なすその他のISMS関連文書（7.5.1b節）
8. 運用計画および管理文書（8.1節）
9. リスク評価の結果（8.2節）
10. リスク処理に関する決定（8.3節）
11. 情報セキュリティの監視と測定の証拠（9.1節） ）
12. ISMS内部監査プログラムと実施された監査の結果（9.2節）
13. ISMSのトップマネジメントレビューの証拠（9.3節）
14. 証拠識別された不適合および発生した是正措置の数（10.1節）
15. その他：付録Aは、資産の許容される使用に関する規則、アクセス制御ポリシー、運用手順、機密性、または非機密性を含む詳細な文書について言及していますが、完全には指定していません。 -開示契約、安全なシステムエンジニアリングの原則、サプライヤーとの関係に関する情報セキュリティポリシー、通知国家セキュリティインシデント対応手順、関連する法律、規制、契約上の義務に加えて、関連するコンプライアンス手順と情報セキュリティ継続性手順。ただし、付属書Aが規範的であるにもかかわらず、組織は正式に付属書Aを採用して遵守する必要はありません。他の構造やアプローチを使用して、情報リスクを処理できます。

認証審査員はほぼ確実にこれらの15種類のドキュメントが（a）存在し、（b）目的に適合していることを確認してください。

この規格では、ドキュメントの形式を正確に指定していませんが、セクション7.5.2ではタイトル、作成者、形式、メディア、レビュー、承認などの側面について説明し、7.5.3ではドキュメントの管理について説明しています。 、かなり正式なISO9000スタイルのアプローチを意味します。電子文書（イントラネットページなど）は、紙の文書と同じくらい優れており、実際には、制御と更新が容易であるという意味で優れています。

ISMSの範囲と適用性に関する声明（SoA）

この標準は、企業全体のISMSの実装を推進することを目的としていますが、組織のすべての部分が、適切かつ体系的に管理された方法で情報リスクに対処することで利益を得るようにします。 、組織は、ISMSの範囲を希望する範囲で広くまたは狭くすることができます。実際、スコーピングは上級管理職にとって重要な決定です（4.3節）。文書化されたISMSスコープは、認証の必須要件の1つです。

適用性ステートメントは明示的に定義されていませんが、セクション6.1.3の必須要件です。 SoAは、情報リスク評価、特にそれらのリスクの処理に関する決定からの出力を指します。 SoAは、たとえば、一方の軸でさまざまなタイプの情報リスクを識別し、もう一方の軸でリスク処理オプションを識別し、リスクが体内でどのように処理されるか、そしておそらく誰がそれらの責任を負うかを示すマトリックスの形をとることがあります。通常、ISO / IEC 27002の関連するコントロールを参照しますが、組織はNIST SP800-53、ISF標準、BMISおよび/またはCOBIT、またはカスタムアプローチなどの完全に異なるフレームワークを使用する場合があります。ISO / IEC 27002の情報セキュリティ管理の目的と管理は、「必要な管理を見落とす」ことを避けるために、付録Aにチェックリストとして提供されています。これらは必須ではありません。

第三者が組織のISO / IEC 27001コンプライアンス証明書に依存する場合、ISMSスコープとSoAは非常に重要です。たとえば、組織のISO / IEC 27001スコープに「AcmeLtd。DepartmentX」のみが含まれている場合、関連する証明書には、「Acme Ltd.DepartmentY」または実際には「AcmeLtd。」の情報セキュリティの状態についてまったく何も記載されていません。同様に、何らかの理由で管理者が従来のウイルス対策制御を実装せずにマルウェアリスクを受け入れることを決定した場合、認証監査人はそのような大胆な主張に異議を唱える可能性がありますが、関連する分析と決定が適切であれば、それだけでは正当化されません。ウイルス対策制御は実際には必須ではないため、組織の認証を拒否します。

メトリクス

事実上（実際には「メトリクス」という用語を使用せずに） 、2013年版の規格では、組織のISMSおよび情報セキュリティ管理のパフォーマンスと有効性に関するメトリックを使用する必要があります。セクション9「パフォーマンス評価」では、組織が適切なセキュリティメトリックを決定して実装する必要がありますが、高レベルの要件のみを示しています。

ISO / IEC27004は要件を満たし、ISMSのパフォーマンスを評価するために何をどのように測定するかについてのアドバイス-PRAGMATICセキュリティメトリクスで説明されているものと異ならない非常に賢明なアプローチ。

認証

認定され、尊敬されている認証機関によるISO / IEC 27001の認証への準拠は完全にオプションですが、のセキュリティを懸念している組織からサプライヤやビジネスパートナーからの要求が高まっています。それらの情報、およびサプライチェーン/サプライネットワーク全体の情報リスクについて。

認証は、単なるコンプライアンスに加えて、多くの利点をもたらします。 ISO9000シリーズの証明書には詳細が記載されていますn「私たちは質の高い組織です」。独立した評価は、必然的に実装プロセスにある程度の厳密さと形式性をもたらし（情報セキュリティの改善とリスク削減によってもたらされるすべての利点を意味します）、常に上級管理職の承認を必要とします（少なくともセキュリティ意識の観点からは利点です！）。

証明書にはマーケティングの可能性とブランド価値があり、組織が情報セキュリティ管理を真剣に受け止めていることを示しています。ただし、上記のように、証明書の保証値はISMSスコープとSoAに大きく依存します。つまり、情報に大きく依存している場合は、組織のISO / IEC27001コンプライアンス証明書をあまり信頼しないでください。セキュリティ。認定されたPCI-DSSコンプライアンスが「クレジットカードデータやその他の個人情報の保護を保証する」ことを意味しないのと同じように、認定されたISO / IEC 27001コンプライアンスは肯定的な兆候ですが、組織の情報セキュリティに関するキャストアイアン保証ではありません。 。「安全です」ではなく「準拠したISMSを導入しています」と書かれていますが、これは微妙ですが重要な違いです。

標準のステータス

ISO / IEC27001が最初でした2005年に公開されました。

この標準は完全に書き直され、2013年に公開されました。これは、ISOがこの標準を他の管理システム標準と整合させるために大幅な変更を要求したため、2005年版の内容を微調整するだけではありませんでした。

ISO / IEC 27002は大幅に改訂され、同時に再発行されたため、ISO / IEC27001の付録Aも完全に更新されました。詳細についてはISO / IEC27002ページを参照してください。

2014年の技術的基準により、情報は結局のところ資産であることが明らかになりました。ゴリー。

2番目の技術的基準2015年のエンダムは、組織がSoAでの情報セキュリティ管理の実装ステータスを特定することを正式に義務付けられていることを明らかにしました。

提案された第3の技術的正誤表は、サメを飛び越えました。SC27は、公開されたドラフトのときに提案されるべきであり、とにかく受け入れられなかったかもしれない変更を伴う不必要な標準。対処されていないにもかかわらず、懸念は有効です。この規格は、情報リスクと管理システムに関連するリスクを実際に混同しています。後者に対処する必要がありましたが、代わりに前者を採用しました。

調査期間では、SoAに関連するAnnex Aの価値と目的を検討し、AnnexAはISO / IEC 27002への有用なリンクであると結論付けましたが、本文の文言は、AnnexAが完全にオプションです。組織は、リスク処理の選択、実装、管理、監視、および維持のプロセスが本体の要件を満たしている場合、情報リスクの処理に適していると見なす一連の制御（または実際には他のリスク処理）を採用できます。言い換えれば、プロセス全体がISMSに含まれます。

ISO / IEC 27001の次のバージョンには、ISO / IEC 27002の今後の更新（つまり、付録Aの書き直し）を反映した大幅な変更が必ず組み込まれます。付録SLの継続的な改訂の結果として、一部の本体の文言が変更されました…

個人的なコメント

付録SL（以前は「ドラフトガイド83」、場合によっては「付録L」と呼ばれていました） ）付録2は、以下に共通する定型文と構造を指定します。品質保証、環境保護などをカバーするすべてのISOおよびISO / IECマネジメントシステム規格。いずれかのマネジメントシステムに精通している管理者は、他のすべてを支える基本原則を理解するという考え方です。認定、ポリシー、不適合、文書管理、内部監査、管理レビューなどの概念は、すべてのマネジメントシステム標準に共通であり、実際、プロセスは組織内で大部分標準化できます。

今年次に更新されるとき、Annex SL付録2はおそらく（承認された場合）：

• リスクを「不確実性の影響」として定義します（現在のバージョンで使用されている定義から「目的の」を削除します） ISO / IEC 27000の）4つのノート（現在の定義では6つのノートの最後の2つを削除）。その単純化がISO27kに役立つか、害を及ぼすか、または影響を与えないかどうかはまだわかりません。
• 「結果」を「結果」に置き換えます。これは主に翻訳を容易にするために行われた変更です。
• 「変更の計画」を含めます。つまり、管理システムへの変更はすべてで実行する必要があります。計画的な方法」。
• 「外部委託」を「外部提供」に置き換えて、外部委託、契約、および従来の購入を網羅します。
• 内部監査の一般要件を個別に指定します（9.2.1）。内部監査プログラム（9.2.2）の場合。
• マネジメントレビュー（9.3.1）とそのインプット（9.3.2）およびアウトプット（9.3.3）の一般的な要件を個別に指定します。
• 欠点への対応に加えて、マネジメントシステムの積極的な改善の必要性を再強調します。
• （おそらく）次のものを含む、すべてのISOマネジメントシステム標準に対する他のさまざまな表現の変更を義務付けます。 ISO / IEC27001のリリース。

「情報資産」の意図された意味に関するSC27の混乱は、次の点にとどまります。この問題を真にボトムアウトするのではなく、ISO / IEC 27000からの「情報資産」の作成は、戦術的な誤りであった可能性があります。価値のあるものとして非常に広く定義されている「資産」という用語に戻ると、その用語が文字通りの明示的な定義に置き換えられた場合、ISO27k全体で問題が発生します。レンガは資産ですが、レンガのスマートフォンは負債です。「価値」あいまいな概念です。 「誰にとって価値があるのか」と尋ねるのは公正です。また、組織は、適切な保護を必要とする個人情報や専有情報など、他者に属する一部の情報の管理者として機能するため、ISMSでカバーする必要があるかどうか？これは、厄介で不明確で、最終的には不十分な状況です。国際規格。