データや情報が商品のように取引される時代、それらを保護することは必要不可欠です。そのためには、情報セキュリティ規格であるISO/IEC 2700xシリーズに基づいた情報セキュリティマネジメントを実施することが一つの方法です。これは、民間、公共、非営利の組織におけるITセキュリティと情報セキュリティのための国際的な規格群である。ISO 27001に基づき、情報セキュリティマネジメントシステム(ISMS)を導入し、組織や公的機関が自らの保護のために設定、運用、認証を受けることができます。
Loading...
情報セキュリティのための規格。ISO2700X規格群
ISO 2700xシリーズの情報セキュリティに関する個々の規格は、情報セキュリティの分野における多様なトピックを扱っています。例えば、この国際規格では次のように規定されています。 ISO 27001情報セキュリティマネジメントシステム(ISMS)。 ISO 27701また、ISO 27017はクラウドコンピューティングにおける情報セキュリティ対策のガイダンス、ISO 27005は情報セキュリティリスク管理に関するガイドラインを提供しています。
あらゆる業界の企業にとって、情報セキュリティに関するこれらの規格の体系的なアプローチは有益なものです。これにより、機密データを損失や悪用から保護し、(潜在的な)脅威を確実に特定し、低減することができます。このアプローチにより、企業のITシステムの可用性を確保し、ビジネスプロセス、ITおよびプロセスコストの最適化、ビジネスリスクと法的リスクの最小化に貢献します。
認証取得は競争優位性
DQSなどによる ISO27001の認証取得には、それなりの準備と労力が必要です。しかし、情報セキュリティの要求事項を遵守し、会社の機密データを保護するための対策を実施していることを文書で証明するものです。これは明らかな競争上の優位性である。
知っておきたい、情報セキュリティに関する10のISO規格
以下のリストは、情報セキュリティに関するISO 2700xシリーズの規格の現状を説明するものです。すべての規格は、ISOのウェブサイトから購入することができます。
ISO 27001 - 情報セキュリティマネジメントシステムに対する要求事項
データや情報が希少価値の高い商品のように取引される時代、その保護は必要不可欠です。全体的なセキュリティ戦略を効果的に実施するための最適な基盤は、以下の規格に準拠した情報セキュリティマネジメントシステム(ISMS)によって提供されます。 ISO 27001.これは、民間、公共、非営利の組織における情報セキュリティのための国際的に認められた規格であり、ITセキュリティの側面だけをカバーするものではありません。
ISO 27001 ISMSは、組織において保護が必要な情報のセキュリティを確保するための要求事項、規則、方法を定義したものです。ISO規格は、保護レベルの確立、実施、監視、および改善のためのモデルを提供します。その目的は、企業にとって潜在的なリスクを特定し、それを分析し、適切な対策によって制御可能にすることである。ISO 27001は、このようなマネジメントシステムの要求事項を策定し、外部認証 プロセスの一環として監査されます 。
この規格で実現できます。
- 機密情報のセキュリティを企業プロセスに不可欠なものにする。
- 情報の保護目標の機密性、可用性、完全性の予防的保護
- セキュリティレベルの継続的な改善による事業継続性の維持
- 従業員の感性を高め、社内のあらゆる階層でセキュリティ意識を大幅に向上させる。
- 利害関係者との信頼関係の構築
- 効果的なリスクマネジメントプロセスの確立
ISO/IEC 27001:2013
情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項
ISO 27019 - エネルギー供給における情報セキュリティ対策。
情報セキュリティ規格ISO 27019は、エネルギー産業部門に対する補完的な対策を策定しています。
ISO/IEC 27019:2017
情報技術 - セキュリティ技術 - エネルギー公益産業のための情報セキュリティ管理
電気エネルギー、ガス、石油、熱の生産、伝送、貯蔵、分配を制御および監視し、関連するサポートプロセスを制御するために使用する電子プロセス制御システムのセキュリティを確保することができます。
この規格でできること
- 情報の機密性、可用性、完全性という保護目標を体系的に確保する。
- セキュリティレベルおよび不正アクセスへの耐性を継続的に改善する。
- 行動の安全性と法的確実性を高め、関連するコンプライアンス要件への準拠を向上させる。
- 従業員や管理職のセキュリティ意識の向上
- すべての関係者から高い信頼とロイヤリティを獲得する。
- ドイツ連邦ネットワーク庁(BNetzA)などの当局に対して、セキュリティ対策の有効性を公的に証明することができます。
ISO 27006 - 認証機関に対する要求事項
ISO 27006は、DQSのような情報セキュリティマネジメントシステムの認証を行う団体を対象としています。ISO 27006認定規格は、認証機関が顧客のISO 27001に対するマネジメントシステムを認証のために評価する際に従わなければならない要求事項を説明しています。
ISO/IEC 27006:2015
情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステムの監査および認証を提供する機関に対する要求事項
これには、例えば、指定された監査努力の証明や監査人の資格に関する仕様が含まれます。規格に概説されている認定プロセスは、認定された認証機関が発行するISO 27001認証書が国際的な有効性を持つことを保証しています。
この規格で達成できること
- 認証、サーベイランス、再認証の審査手順に関する統一基準
- ISO27001認証の有効性の確保
- 審査工数および認証手続きを計算・実行する要員の資格に関する最小限の要求事項を確保する。
ISO 27002 - 情報セキュリティ管理に関するガイダンス
ISO27001による情報セキュリティマネジメントシステム(ISMS)には、規範的な附属書A:参照措置の目的と制御が含まれています。
ISO/IEC 27002:2022 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 - 情報セキュリティ管理
この附属書には、組織に関連する、マネジメントシステムの一部として実施すべき具体的な対策が記載されています。ISO 27002は、ISO 27001の対策を実施するための推奨事項を記載したガイドである。
規格でこんなことができます。
- ISO27001の実施支援
- ISO27001の附属書Aの対策の推奨事項を実施する。
ISO 27000 - 情報セキュリティマネジメントシステムの概要と用語集
ISO 27000には、ISO 2700Xシリーズの規格で使用される用語と定義が含まれています。ISO 27000は、情報セキュリティマネジメントシステムと、その情報セキュリティ規格を持つISO 2700xシリーズの規格の概要を提供しています。
ISO/IEC 27000:2018
情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 概要および語彙
用語集では、(技術)用語が明示的かつ形式的に定義されています。
この規格でできること
- 用語集:情報セキュリティ分野のISO2700xシリーズ規格で使用されている技術用語のほとんどを網羅しています。
- 用語に関する明確化
- 審査員・評価者間の語彙の明確な理解(「共通言語」)。
- 情報セキュリティマネジメントシステムの概要:情報セキュリティ、リスクとセキュリティの管理、マネジメントシステムの紹介
ISO 27701 - データ保護管理に関するガイダンス
情報セキュリティのうち、特にデータプライバシーに関連する規格です。 ISO 27701は、ISO27001、ISO27002(情報セキュリティ管理)、ISO29100(データプライバシーフレームワーク)に基づき、個人データの処理と情報セキュリティの双方に適切に対処するためのデータ保護マネジメント システムを規定するものです。これは、個人データの管理者と処理者の双方に適用されます。
ISO/IEC 27701:2019-08 セキュリティ技術 - プライバシー情報管理のためのISO/IEC 27001およびISO/IEC 27002の拡張 - 要求事項およびガイドライン
この規格で成功するには
- 個人情報および情報セキュリティの管理向上
- 個人データに対する共通の情報リスクマネジメントの原則の適用が容易になります。
- ISO 27001および関連するISO 27002の制御を整合させ、拡張する。
ISO 27017 - クラウドサービスにおける情報セキュリティ対策の手引き
ISO 27017規格は、情報セキュリティに関する規格の中で、クラウドコンピューティングにおける情報セキュリティ対策に関するガイダンスを提供するものです。
ISO/IEC 27017:2015
情報技術 - セキュリティ技術 - クラウドサービス向けのISO/IEC 27002に基づく情報セキュリティコントロールのための実践規範
クラウドに特化した情報セキュリティ対策を実施するための推奨、支援、追加対策が記載されています。
この規格で実現できること
- クラウドコンピューティングの情報セキュリティの側面を理解することができます。
- クラウド特有の情報セキュリティ管理を設計し、実施することができる
- クラウドコンピューティングの情報セキュリティを選択、実装、管理するためのオプションの制御
ISO 27018 - クラウドサービスにおけるデータ保護に関するガイダンス。
ISO 27018規格は、クラウドサービス事業者が適切な情報セキュリティ管理を提供し、委託された個人データを安全に保護することにより、顧客である顧客のプライバシーを守るためのガイダンスを提供します。
ISO/IEC 27018:2019
情報技術 - 技術 - PII プロセッサとして機能するパブリッククラウドにおける個人識別情報(PII)の保護に関する実施規範
この規格に続いて、ISO 27017(クラウドサービスにおける情報セキュリティ対策)が制定され、クラウドコンピューティングにおけるデータ保護以外の情報セキュリティの側面がカバーされています。
この規格を利用してできることは以下の通りです。
- ISO 27001に基づくクラウドコンピューティング情報セキュリティマネジメントシステムを実装する一環として、PII保護対策を選択する。
- 一般的に受け入れられているPII保護対策を実施する。
- この規格はISO 27002をベースにしており、いくつかの領域でその一般的なアドバイスを拡張しているため、知識を深めることができます。
- いくつかのデータ保護法令に具現化されているOECDプライバシー原則をリンクしています。
ISO 27005 - 情報セキュリティリスク管理に関するガイダンス。
ISO 27005規格は、情報セキュリティリスク管理に関するガイダンスを提供し、ISO 27001で規定されたこれに関する一般的な概念をサポートしています。
ISO/IEC 27005:2018-07
情報技術 - ITセキュリティ技術 - 情報セキュリティリスク管理。
また、ISO 27005は、リスクマネジメントの考え方に基づく情報セキュリティの実施を支援することを目的としています。
規格で行うことができます。
- リスクマネジメントの考え方に基づいた情報セキュリティの実施。
- リスクマネジメントの定義
- 関連する情報リスクの定量的または定性的な評価(識別、分析、評価)。
- リスク、リスク処理、要件、基準の継続的な監視と見直し
- リスクへの適切な対処
- すべてのステークホルダーとの継続的なコミュニケーション
Loading...
Never miss a thing...
無料のニュースレターでは、監査、マネジメントシステム、認証に関する最新情報をお届けしています。ベストプラクティスの例を読んで、あなたのスケジュールにヒントを得てください。
ISO 27007 - ISMS監査の手引き
ISO 27007は、監査を実施するためのガイドであり、ISO/IEC 27001に従ってISMSを評価する内部および外部の監査人を対象としています。
ISO/IEC 27007:2020
情報セキュリティ、サイバーセキュリティおよびプライバシー保護 - 情報セキュリティマネジメントシステム監査のためのガイドライン
このガイドは、マネジメントシステム監査の手引き(ISO 19011)に大きく基づいており、情報セキュリティマネジメントシステム(ISMS)のための追加ガイダンスを提供しています。
規格を成功させるための方法を紹介します。
- ISO 27001 ISMS監査のための特別なガイダンス
- ISO 19011から統合された審査の計画および実施に関するガイダンス
- ISMS監査人の能力に関する重要な情報
- ISMS監査の理解と実施
DQS - 私たちができること
DQSは、1985年の設立以来、マネジメントシステムおよびプロセスの認証において、業界をリードするスペシャリストとして活躍しています。以来、DQSの歴史は、ISO9001の歴史と密接に結びついています。年間約30,000日の審査日において、ワールドワイドなノウハウと規格に対する幅広い理解をお客様に提供します。だから、あなたの選択肢が見えてくるのです。
信頼と専門知識
当社のテキストとホワイトペーパーは、当社の規格専門家または長年にわたる監査役によってのみ執筆されています。情報セキュリティ規格の概要も同様です。テキストの内容や、著者へのサービスについてのご質問は、お気軽にお問い合わせください。
情報セキュリティの規格です。ISO 2700X規格ファミリーの他のトピック
ISO 27003 - ISMSの開発及び実施に関する手引き
ISO/IEQ 27003:2017
情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - ガイダンス.
ISO 27004 - 情報セキュリティマネジメントの測定方法に関するガイダンス
ISO/IEC 27004:2016
情報技術 - セキュリティ技術 - 情報セキュリティ管理 - 監視、測定、分析および評価。
ISO 27008 - 情報セキュリティ対策の評価に関するガイダンス
ISO/IEC TS 27008:2019
情報技術 - セキュリティ技術 - 情報セキュリティ制御の評価のためのガイドライン
ISO 27009 - 情報管理システムの分野別適用の手引き
ISO/IEC 27009:2020
情報セキュリティ、サイバーセキュリティ、プライバシー保護 - ISO/IEC 27001の分野別適用 - 要求事項
ISO 27010 - セクター間および組織間通信のための情報セキュリティ管理に関するガイダンス
ISO/IEC 27010:2015
情報技術 - セキュリティ技術 - セクター間および組織間通信のための情報セキュリティ管理
ISO 27011 - 電気通信部門における情報セキュリティ管理に関するガイダンス
ISO/IEC 27011:2016
情報技術 - セキュリティ技術 - 電気通信組織におけるISO/IEC 27002に基づく情報セキュリティ管理に関する実施規範
ISO 27013 - ISMSとITサービスマネジメントの統合的実施のためのガイダンス
ISO/iec 27013:2021
情報セキュリティ,サイバーセキュリティ及びプライバシー保護 - ISO/IEC 27001及びISO/IEC 20000-1の統合実施に関するガイダンス
ISO 27014 - 情報セキュリティの「ガバナンス
ISO/IECディス27014:2020
情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティのガバナンス
ISO 27016 - 情報セキュリティマネジメントの経済性
ISO/IEC TR 27016:2014
情報技術 - セキュリティ技術 - 情報セキュリティ管理 - 組織的経済性
ISO 27021 - ISMS専門家の力量に関する要求事項
ISO/IEC 27021:2017/AMD 1:2021
技術 - 情報セキュリティマネジメントシステム専門家の能力要件 - 修正1:能力要件へのISO/IEC 27001:2013の条項またはサブクローズの追加
ISO 27031 - 事業継続のためのガイダンス
ISO/iec 27031:2011
情報技術-セキュリティ技術-事業継続のための情報通信技術準備のためのガイドライン
ヒント:事業継続マネジメントに関する当社のブログ記事で、例外的な状況下で企業の存続を確保するためにISO 22301規格が推奨していることをご覧ください。
ISO 27032 - サイバーセキュリティガイド
ISO/IEC 27032:2012
情報技術 - セキュリティ技術 - サイバーセキュリティのためのガイドライン
ISO 27033 - ネットワークセキュリティに関するガイダンス
ISO/IEC 27033
情報技術 - セキュリティ技術 - ネットワークセキュリティ
Part 1:第1部:概要と概念、第2部:ネットワークセキュリティの設計と実装のためのガイドライン、第3部:参照ネットワークシナリオ-脅威、設計技術、制御の問題、第4部:セキュリティゲートウェイを使用したネットワーク間の通信の保護、第5部:仮想プライベートネットワーク(VPN)を使用したネットワーク間の通信の保護、第6部:無線IPネットワークアクセスの安全化
ISO 27034 - アプリケーションセキュリティに関するガイダンス
ISO/IEC 27034
情報技術 - セキュリティ技術 - アプリケーションセキュリティ
Part 1:概要と概念、第2部:組織の規範的枠組み、第3部:アプリケーションセキュリティ管理プロセス、第4部:検証および妥当性確認、第5部:プロトコルおよびアプリケーションセキュリティ制御のデータ構造、第6部:キャストスタディ、第7部:保証の予測フレームワーク
ISO 27035 - 情報セキュリティインシデントのインシデント管理に関するガイダンス
ISO/IEC 27035
Information technology - IT security practices - Information security incident management
Part 1:インシデント管理の基礎、第2部:インシデント対応の計画と準備のためのガイドライン、第3部:情報通信技術のインシデント対応のためのガイドライン(ドラフト)
ISO 27036 - サプライヤーとの関係に関するガイダンス
ISO/IEC 27036
Information technology - Security techniques - Information security for supplier relationships
Part 1:概要と概念、第2部:要求事項、第3部:情報通信技術のサプライチェーンセキュリティのためのガイドライン、第4部:クラウドサービスのセキュリティのためのガイドライン
ISO 27037 - デジタルエビデンスの取り扱いに関するガイドライン。
ISO/iec 27037:2012
情報技術 - セキュリティ技術 - デジタル証拠の識別、収集、取得、保存のためのガイドライン
ISO 27038 - デジタル冗長化の仕様
ISO/IEC 27038:2014
情報技術 - セキュリティ技術 - デジタルリダクションの仕様
ISO 27039 - 侵入検知システム(IDPS)に関するガイダンス
ISO/IEC 27039:2015
情報技術 - セキュリティ技術 - 侵入検知・防止システム(IDPS)の選定,配備及び運用
ISO 27040 - ストレージセキュリティに関するガイダンス
ISO/IEC 27040:2015
情報技術 - セキュリティ技術 - ストレージセキュリティ
ISO 27041 - インシデント調査方法に関するガイダンス
ISO/IEC 27041:2015
情報技術 - セキュリティ技術 - インシデント調査方法の適合性及び妥当性の保証に関するガイダンス
ISO 27042 - デジタル証拠の分析および解釈に関するガイダンス。
ISO/IEC 27042:2015
情報技術 - セキュリティ技術 - デジタル証拠の分析及び解釈のためのガイドライン
ISO 27043 - インシデント調査プロセスに関するガイダンス。
ISO/IEC 27043:2015
情報技術 - セキュリティ技術 - インシデント調査の原則とプロセス
ISO 27050 - 電子的検出に関するガイダンス
ISO/IEC 27050
Information technology - Electronic discovery
Part 1:第1部:概要と概念、第2部:電子証拠開示のガバナンスと管理のためのガイダンス、第3部:電子証拠開示のための実践規範
ISO 27102 - サイバー保険に関するガイダンス
ISO/IEC 27102:2019
情報セキュリティマネジメント - サイバー保険に関するガイドライン
ISO 27103 - サイバーセキュリティとISO/IEC規格の手引き
ISO/IEC TR 27103:2018
情報技術 - セキュリティ技術 - サイバーセキュリティとISOおよびIEC規格
ISO 27550 - システムライフサイクルプロセスのためのプライバシーエンジニアリング
ISO/IECTR 27550:2019-09
情報技術 - セキュリティ技術 - システムライフサイクルプロセスのためのプライバシーエンジニアリング
ISO 27799 - ヘルスケア部門における情報セキュリティ管理
ISO 27799:2016
健康情報学 - ISO/IEC 27002を用いた健康における情報セキュリティ管理
DQSのメールマガジン
メルマガを登録して、あなたのビジネスに役立つ最新情報を入手しましょう。
著者名
Gert Krueger
Expert and project manager for information security, BSI-KritisV and data protection at DQS. In addition, long-standing auditor for quality and environmental management.
Loading...