ISO27000シリーズの標準とは何ですか?
ISO/IEC270001規格ファミリーは、ISO27000シリーズとも呼ばれ、組織が情報セキュリティを向上させるための一連のベストプラクティスです。
ISO(国際標準化機構)とIEC(国際電気標準委員会)によって発行され、シリーズは、ベストプラクティスの情報セキュリティ慣行を実装する方法を説明します。
an.,これは、ISMS(情報セキュリティ管理システム)要件を設定することによって行います。
ISMSは、情報セキュリティの三つの柱に対処する措置を含む、リスク管理への体系的なアプローチです:人、プロセス、テクノロジー。
このシリーズは、ファミリーの紹介と重要な用語と定義の明確化を提供する46のISO27000を含む個々の標準で構成されています。,
シリーズがどのように機能するかを確認するためにISO標準を包括的に理解する必要はなく、組織に関連しないものもありますが、いくつかのコア
ISO27001
これはISO27000シリーズの中心的な標準であり、ISMSの実装要件を含んでいます。
これは、ISO IEC27001:2013が組織が監査および認証を受けることができるシリーズの唯一の標準であるため、覚えておくことが重要です。,
これは、コンプライアンスを達成するために必要なすべてのことの概要が含まれているためです。
ISO27002
これは、組織が実装することを選択する可能性のある情報セキュリティ制御の概要を提供する補足規格です。
組織は、リスク評価中に明らかになると考える管理を採用する必要があるだけです。,
コントロールはISO27001の附属書Aに概説されていますが、これは本質的に簡単な要約ですが、ISO27002には、各コントロールがどのように機能するか、その目的
ISO27017およびISO27018
これらの補足的なISO標準は、2015年に導入され、組織がクラウド内の機密情報をどのように保護すべきかを説明しました。
組織が機密情報の多くをオンラインサーバーに移行するにつれて、これは最近特に重要になっています。,
ISO27017は、クラウドに格納されている情報に附属書Aコントロールを適用する方法についての追加情報を提供する、情報セキュリティのための実践
ISO27001では、これらを別のコントロールセットとして扱うことができます。 したがって、”通常の”データについてはAnnex Aのコントロールセットを選択し、クラウド内のデータについてはISO27017のコントロールセットを選択します。
ISO27018は基本的に同じ方法で動作しますが、個人データに対して特別な配慮があります。,
ISO27701
これはISO27000シリーズの最新の標準であり、PIMS(privacy information management system)を実装する際に組織が行う必要があることをカバーしています。
これはGDPR(一般データ保護規則)に対応して作成されたもので、個人データを保護するために”適切な技術的および組織的措置”を採用するように組織に指示していますが、それをどのように行うべきかは述べていません。
ISO27701はそのギャップを埋め、基本的にISO27001にプライバシー処理制御をボルトで固定します。
なぜISO27000シリーズ規格を使用するのですか?,
データ侵害は、組織が直面する最大の情報セキュリティリスクの一つです。 機密データは、これらの日の企業のすべての分野で使用され、合法的かつ非合法な使用のためのその価値を高めています。
サイバー犯罪者がデータベースにハッキングしたり、従業員が情報を失ったり悪用したりするなど、毎月数え切れないほどの事件が発生します。 どこのデータによると、金融や風評被害による違反で破壊的なものになります。,
組織は、効果的なセキュリティのためのガイドラインとしてISO27001を使用して、ますます彼らの防衛に多額の投資をしている理由です。
ISO27001は、あらゆる規模の組織に適用することができ、フレームワークの広さは、その実装が常にビジネスの規模に適していることを意味します。
あなたは、情報セキュリティ&ISO27001:はじめにを読むことによって、標準を開始する方法を見つけることができます。,
この無料のグリーンペーパーでは、
- ISO27001とは何か、ISMSがどのように機能し、ISO9001、ISO27002およびその他の規格とどのように関連しているか、
- リスク評価とリスク処理計画の重要性、
- 規格が法的および規制上の義務を満たすのにどのように役立つか、および
- 監査および認証要件について説明しています。,
このブログのバージョンは、もともと10october2019に公開されました。
推奨読書:
- ISO27000と27001の違いは何ですか