ISO/IEC 27001 – 定義

導入

ISO/IEC 27001は、国際的な情報セキュリティ マネジメント システム規格であり、情報技術 – セキュリティ技術 – セキュリティ マネジメント システム情報 – 要件というタイトルで ISO によって 2005 年 10 月に発行されました。

目標

2005 年 10 月に発行された ISO 27001 規格は、BS 7799-2 規格の後継です。あらゆる種類の組織（営利企業、NGO、行政など）を対象としています。 ISO/IEC 27001 規格には、情報セキュリティ管理システム (ISMS) の実装の要件が記載されています。 ISMS は、定義された境界内で企業の機密資産を確実に保護するためのセキュリティ対策を選択することを目的としています。情報システムのセキュリティを継続的に向上させるために、ISMSの構築に推奨されるのはPDCA（Plan-Do-Check-Act）の品質モデルです。

この規格では、各組織に固有のセキュリティ対策の要件も規定しています。つまり、対策は組織間で同じではありません。対策は、緩すぎたり厳しすぎたりすることがないよう、組織に応じて適切かつ適切なものでなければなりません。 ISO 27001 規格には、ISMS とセキュリティ対策ツールの導入によって情報資産の保護を保証することを目的としているという事実も含まれています。目標は、情報の損失や侵入を防ぐことです。これはステークホルダーに信頼をもたらすでしょう。

ISO/IEC 27001 は、ISMS の関連性を確保し、運用し、開発するために実行されるすべての管理を定義します。より具体的には、規格の付録 A は、 ISO/IEC 27002 (旧 ISO/IEC 17799) の 133 のセキュリティ対策で構成され、11 のセクションに分類されています。 ISO 9001、 ISO 14001規格と同様に、ISO 27001の認証を取得することが可能です。

BS 7799-2規格に比べて1点消えています。 ISO 27001 には、競争力、キャッシュ フロー、収益性、規制遵守、ブランド イメージの向上は組み込まれなくなりました。実際、BS 7799-2 標準は、お金を稼ぎたいという願望を公然と示すことが間違っていない英国の組織から来ています。

認証プロセス

認証それ自体が目的ではありません。つまり、ISO 27001 の要件に従って ISMS を導入することを決定した組織は、認証を受ける義務はありません。ただし、利害関係者は独立機関によって認証されたシステムのみを信頼するため、これは ISMS 実装の論理的な結果です。

ISO 27001 認証の取得には、初期監査、監視監査、更新監査の 3 つの監査が必要です。

初期監査は ISMS 全体を対象とします。その期間は ISO 27006 規格の付録 C で決定されます。監査人は認証を与えるのではなく、技術検証委員会によって検討され、その後認証委員会によって検討される意見を与えるだけです。この後初めて、彼女は 3 年間の証明書を取得しました。それ以外の場合は、最長3か月以内に補完的な監査が行われます。この期間中に、組織は証明書を取得するために、初期監査中に検出された問題を修正する必要があります。

監視監査は、ISMS がまだ有効であることを確認するために、証明書の有効期間中 (3 年間) に行われます。 1年に1つあります。監査では、初期監査中に指摘された不適合およびその他の点が対象となります。

• 苦情への対応
• 計画した活動の進捗状況
• 認証機関のマークの使用
• WSIS の存続可能性
• リスナーが選択したさまざまな句。

監査人が不適合を発見した場合、証明書は一時停止されるか、場合によっては取り消されます。したがって、会社は常に動員されなければなりません。

更新監査は、証明書の有効期限が切れると行われます。これには、前回の監視監査の不適合のほか、以前の監視監査からの報告書のレビュー、および期間中の ISMS のパフォーマンスのレビューが含まれます。