ISO/IEC 27000:ファミリー

規格 について知る

Edward Humphreys氏が、ISO/IEC 27000規格シリーズの最新の開発状況について解説します。

ISO/IEC 27000情報セキュリティマネジメントシステム(ISMS)ファミリー規格が継続して開発されており、世界中の企業組織に採用されています。このファミリー規格の代表格はもちろん要求事項を規定した規格ISO/IEC 27001であり、認証規格としてもグローバルに受け入れられ、契約条件や規制目的としても使用されています。この規格のビジネスへの重要性は最新のISO調査で確認済みであり、ISO/IEC 27001への世界における認証数は2008年には20%以上も増加したことが明らかになりました。

他のISO/IEC 27000ファミリー規格はISO/IEC 27001を補完する役割を担っており、ISO/IEC 27001に適合した情報セキュリティマネジメントシステムの開発、実施、改善を支援する指針を提供しています。ファミリー規格には1995年に発行された当初規格ISO/IEC 27002も含まれています。ISO/IEC 27002は情報セキュリティマネジメントの行動規範として有名です。ISO/IEC 27001もISO/IEC 27002も現在は通常のマネジメントシステム規格の5年サイクルでの改訂及び改善プロセスの真っ最中です。

その他の指針規格としてはISO/IEC 27005が挙げられます。この規格はリスクマネジメントの指針を提供しています。情報セキュリティリスクマネジメントのプロセスはISO/IEC 27001のPDCAプロセスモデルの主要な要素の1つです。

新たなガイドライン

最近ISO/IEC 27000ファミリーに加わったのがISO/IEC 27003と27004です。ISO/IEC 27004は実施されている情報セキュリティマネジメントシステムの有効性を測定するという重要な項目を取り扱っています。この規格により、経営層は自組織の情報セキュリティマネジメントシステムのパフォーマンスを常に把握することができます。ISO/IEC 27004はPDCAプロセスモデルの「チェック」段階(これは継続的改善プロセスの測定及び見直しの段階に相当します)において、どのような測定を、いつ、どのように実施すべきかを取り扱っています。ISO/IEC 27003はISMSプロセスの計画及び実施プロセスに関してISO/IEC 27001を補足するための実施の指針を提供しています。

審査規格

情報セキュリティマネジメントシステム審査に関連する認定及び審査員のための指針規格もあります。ISO 17021-1から派生した認定規格ISO/IEC 27006がこれに該当します。ISO/IEC 27006はISO/IEC 27001の要求事項への適合性に照らしてISMSを審査する際に、認証機関がどのようにISO 17021-1を解釈すべきかについての指針を提供しています。

2つの審査指針規格、ISO/IEC 27007及びISO/IEC 27008も現在開発が進んでいます。これらの規格の開発は、ISO 19011及びISO 17021-2の改訂作業に取り組んでいる人々と協働で行われています。ISO/IEC 27007はISO/IEC 27001の審査の中でも特にISMSの適用範囲および複雑さ、リスクマネジメント、管理策の選定及びISMS審査員の力量といった項目を網羅しています。一方、ISO/IEC 27008はISO/IEC 27001の付属書Aに規定されたセキュリティ管理策の技術的側面を取り扱っています。 両規格は2011年に発行される予定です。

セクター規格

ISO/IEC 27001を採用しているセクターや業界に特化した要求事項を考慮し、新しい様々な規格が開発されています。もちろん、これらの規格はISO/IEC 27001に代わるものではありませんが、追加的なセクターに特化した要求事項が規定されています。現在進められているプログラムには以下のようなものがあります。

ISO/IEC 27010‐セクター同士のコミュニケーション

この規格では国家インフラに関与しているセクターや組織に関する様々なセキュリティ要求事項が考慮されています。監視制御やデータ取得などのコマンドや制御アプリケーションのセキュリティについて規定しています。

ISO/IEC 27011 – 電気通信組織

この規格はISO/IEC 27002に基づいて2008年に発行され、現在は電気通信標準化部門と協働でX.1051として発行されています。

ISO/IEC 27013‐ISO/IEC 20000-1とISO/IEC 27001の統合

この規格は、ISO/IEC 20000-1とISO/IEC 27001の共通の要素を利用し、サービスマネジメントと情報セキュリティマネジメントシステムを統合したいと考えている組織に指針を提供するものです。例えば、文書システム、インシデントへの対処システム、安全なサービスの提供、監視及びレビュープロセスなどを1つにまとめることができます。

ISO/IEC 27014‐情報セキュリティガバナンスの枠組み

この規格はコーポレートガバナンスの枠組みの情報セキュリティに関する側面を補足するものです。ISO/IEC 27001はリスクマネジメント、管理策のシステム、監査機能というガバナンスの3つの主要要素を含んでいる点で、理想的な情報セキュリティの枠組みであるといえます。

ISO/IEC 27015‐財務及び保険サービスセクター

この規格はISO/IEC 27001を採用している財務及び保険セクターの組織に特化した要求事項を取り扱っています。

図1:ISO 27000ファミリー規格の現在の状況


著者について
Edward Humphreys教授はISO/IEC 27000規格シリーズの開発及び維持のワーキンググループの議長です
Online Forums logo