ISO 27001の意味は何ですか?
まず、ISO27001のフルネームは「ISO / IEC27001 –情報技術—セキュリティ技術—情報セキュリティ管理システム」であることに注意することが重要です。 —要件。」
これは、国際電気標準会議(IEC)と協力して国際標準化機構(ISO)によって発行された、情報セキュリティに焦点を当てた主要な国際標準です。どちらも、国際規格を開発します。
ISO-27001は、情報セキュリティを処理するために開発された一連の規格、ISO / IEC27000シリーズの一部です。
ISO27001の目的は何ですか?
ISO 27001は、情報セキュリティ管理システム(ISMS)の採用を通じて、あらゆる規模または業界の組織が体系的かつ費用効果の高い方法で情報を保護できるようにするために開発されました。
ISO27001が重要な理由
規格はコンパニオンを提供するだけではありません最も価値のある情報を保護するために必要なノウハウを持っていますが、企業はISO 27001の認証を取得することもでき、このようにして、データを保護していることを顧客やパートナーに証明できます。
個人は、コースに参加して試験に合格することでISO 27001認定を取得することもできます。これにより、潜在的な雇用主にスキルを証明できます。
これは国際標準であるため、 ISO 27001は世界中で簡単に認識され、組織や専門家のビジネスチャンスを増やします。
3つのISMSセキュリティ目標は何ですか?
ISO 27001の基本的な目標は、3つを保護することです。情報の側面:
- 機密性:許可された人だけが情報にアクセスする権利を持っています。
- 完全性:許可された人だけが情報を変更できます。
- 可用性:必要なときにいつでも許可された人が情報にアクセスできる必要があります。
ISMSとは何ですか?
情報セキュリティ管理システム(ISMS)は次の目的で企業が確立する必要のある一連のルール:
- 情報セキュリティの観点から、利害関係者と企業に対する彼らの期待を特定する
- 情報に存在するリスクを特定する
- 特定された期待に応え、リスクを処理するための管理(セーフガード)およびその他の緩和方法を定義する
- 達成する必要があるものについて明確な目標を設定する情報セキュリティを使用して
- すべてのコントロールとその他のリスク処理方法を実装する
- 実装されたコントロールが期待どおりに機能するかどうかを継続的に測定する
- ISMS全体を作成するために継続的な改善を行ううまく機能する
この一連のルールは、ポリシー、手順、その他の種類のドキュメントの形式で書き留めることも、確立されたプロセスやテクノロジーの形式で書き留めることもできます。文書化されています。 ISO 27001は、必要なドキュメント、つまり少なくとも存在する必要のあるドキュメントを定義しています。
ISMSが必要な理由
4つの重要なビジネス上のメリットがあります。企業は、この情報セキュリティ標準の実装によって達成できます。
法的要件への準拠–情報セキュリティに関連する法律、規制、および契約上の要件はますます増えています。朗報は次のとおりです。それらのほとんどはISO27001を実装することで解決できます。この標準は、それらすべてに準拠するための完璧な方法を提供します。
競争上の優位性を実現する–自社が認定され、競合他社が認定されていない場合、情報を安全に保つことに敏感な顧客の目には、競合他社よりも優位に立つ可能性があります。
低コスト– ISO 27001の主な哲学は、セキュリティインシデントの発生を防ぐことです–そして、大小を問わず、すべてのインシデントには費用がかかります。したがって、それらを防ぐことによって、あなたの会社はかなりのお金を節約するでしょう。そして何よりも優れているのは、ISO 27001への投資が、達成するコスト削減よりもはるかに少ないことです。
より良い組織–通常、急成長している企業には、プロセスと手順を停止して定義する時間がありません–その結果、多くの場合、従業員は、いつ、何をする必要があるかを知りません。そして誰によって。 ISO 27001の実装は、企業がメインプロセス(セキュリティに関連しないプロセスも含む)を書き留めることを奨励し、従業員による損失時間を削減できるため、このような状況の解決に役立ちます。
ISO 27001はどのように機能しますか?
ISO 27001の焦点は、企業内の情報の機密性、整合性、および可用性を保護することです。これは、情報にどのような潜在的な問題が発生する可能性があるかを見つけることによって行われます(つまり、、リスク評価)、次に、そのような問題の発生を防ぐために何をする必要があるかを定義します(つまり、リスクの軽減またはリスクの処理)。
したがって、ISO 27001の主な哲学は、リスクを管理するプロセスに基づいています。つまり、セキュリティ制御(またはセーフガード)の実装を通じて、リスクがどこにあるかを見つけ、体系的に処理します。
ISO 27001は、適用性声明と呼ばれる文書に実装されるすべてのコントロールをリストすることを企業に要求しています。
ISO27001の要件は何ですか?
ISO27001の必須要件は第4項から第10項で定義されています。つまり、組織が標準に準拠する場合は、これらすべての要件を組織に実装する必要があります。附属書Aの管理は、適用性声明で該当するものとして宣言されている場合にのみ実装する必要があります。
セクション4から10の要件は、次のように要約できます。
条項4:コンテキスト組織–外部および内部の問題、利害関係者とその要件を理解するための要件を定義し、ISMSスコープを定義します。
条項5:リーダーシップ–トップマネジメントの責任を定義し、役割と責任を設定し、トップレベルの情報セキュリティポリシーの内容を定義します。
第6項:計画–リスク評価、リスク処理、適用性声明、リスク処理計画、および情報セキュリティ目標の設定の要件を定義します。
第7項:サポート–要件を定義します。リソースの可用性、能力、認識、コミュニケーション、および文書と記録の管理。
条項8:運用–リスクの評価と処理の実装、および情報セキュリティの目的を達成するために必要な制御とその他のプロセスを定義します。
条項9:パフォーマンス評価–監視、測定、分析、評価、内部監査、および管理レビューの要件を定義します。
条項10:改善–不適合、修正、是正措置、および継続的改善の要件を定義します。
ISO 27001の14のドメインは何ですか?
あります。 ISO 27001の付録Aにリストされている14の「ドメイン」であり、セクションA.5からA.18に編成されています。セクションの内容は次のとおりです。
A.5。情報セキュリティポリシー:このセクションの管理情報セキュリティポリシーの処理方法を説明します。
A.6。情報セキュリティの組織:このセクションのコントロールは、内部組織(役割など)を定義することにより、情報セキュリティの実装と運用の基本的なフレームワークを提供します。 、責任など)、およびプロジェクト管理、モバイルデバイスの使用、テレワークなどの情報セキュリティの組織的側面を通じて。
A.7。人的資源のセキュリティ:このセクションの管理により、組織の管理下にある人々は、安全な方法で雇用、訓練、および管理されています。懲戒処分および協定の終了の原則が取り上げられています。
A.8。資産管理:このセクションの制御により、情報セキュリティ資産(情報、処理デバイス、ストレージデバイスなど)が特定され、セキュリティの責任が指定され、事前定義された分類に従って人々がそれらを処理する方法を知っていることが保証されます。レベル。
A.9。アクセス制御:このセクションの制御は、実際のビジネスニーズに応じて情報および情報資産へのアクセスを制限します。コントロールは、物理的アクセスと論理的アクセスの両方に対応しています。
A.10。暗号化:このセクションのコントロールは、情報の機密性、信頼性、および/または整合性を保護するための暗号化ソリューションの適切な使用の基礎を提供します。
A.11。物理的および環境的セキュリティ:このセクションの制御は、物理的領域への不正アクセスを防止し、人的または自然な介入によって機器や施設が危険にさらされるのを防ぎます。
A.12。運用セキュリティ:このセクションの制御により、オペレーティングシステムとソフトウェアを含むITシステムが安全になり、データ損失から保護されます。さらに、このセクションの管理には、イベントを記録して証拠を生成し、脆弱性を定期的に検証し、監査活動が運用に影響を与えないように予防策を講じる手段が必要です。
A.13。通信セキュリティ:このセクションのコントロールは、ネットワークインフラストラクチャとサービス、およびそれらを通過する情報を保護します。
A.14。システムの取得、開発、および保守:このセクションの制御により、新しい情報システムを購入したり、既存の情報システムをアップグレードしたりするときに、情報セキュリティが考慮されます。
A.15。サプライヤーとの関係:このセクションの統制は、サプライヤーとパートナーによって実行される外部委託活動も適切な情報セキュリティ統制を使用することを保証し、サードパーティのセキュリティパフォーマンスを監視する方法を説明します。
A.16。情報セキュリティインシデント管理:このセクションのコントロールは、セキュリティイベントとインシデントの適切な通信と処理を確実にするためのフレームワークを提供し、タイムリーに解決できるようにします。また、証拠を保存する方法や、インシデントから学習して再発を防ぐ方法も定義します。
A.17。ビジネス継続性管理の情報セキュリティの側面:このセクションの制御により、中断時の情報セキュリティ管理の継続性と情報システムの可用性が保証されます。
A.18。コンプライアンス:このセクションのコントロールは、法的、法定、規制、および契約上の違反を防止し、情報セキュリティが実装され、ISO 27001標準の定義されたポリシー、手順、および要件に従って有効であるかどうかを監査するためのフレームワークを提供します。
これらのドメインを詳しく見ると、情報セキュリティの管理はITセキュリティ(ファイアウォール、アンチウイルスなど)だけでなく、プロセスの管理、法的保護、人的資源の管理、物理的なものでもあることがわかります。保護など。
ISO 27001コントロールとは何ですか?
ISO 27001コントロール(セーフガードとも呼ばれます)は、リスクを許容レベルまで低減するために実装する必要のあるプラクティスです。コントロールには、技術的、組織的、法的、物理的、人間的などがあります。
ISO 27001にはいくつのコントロールがありますか?
ISO 27001付録Aには、14のセクションで編成された114のコントロールがリストされています。上記のA.5からA.18までの番号が付けられています。
ISO 27001コントロールをどのように実装しますか?
技術的コントロールは、ソフトウェア、ハードウェア、およびファームウェアコンポーネントを使用して、主に情報システムに実装されます。システムに追加されました。例えば。バックアップ、ウイルス対策ソフトウェアなど。
組織の制御は、従うべきルールと、ユーザー、機器、ソフトウェア、およびシステムから期待される動作を定義することによって実装されます。例えば。アクセス制御ポリシー、BYODポリシーなど。
法規制は、規則と予想される動作が、組織が遵守しなければならない法律、規制、契約、およびその他の同様の法的文書に準拠し、施行することを保証することによって実装されます。例えば。 NDA(機密保持契約)、SLA(サービスレベル契約)など。
物理的制御は、主に、人や物と物理的に相互作用する機器またはデバイスを使用して実装されます。例えば。 CCTVカメラ、警報システム、ロックなど。
人的資源管理は、知識、教育、スキル、または経験を人に提供して、安全な方法で活動を実行できるようにすることで実装されます。例えば。セキュリティ意識向上トレーニング、ISO27001内部監査員トレーニングなど。
ISO27001必須文書
ISO 27001は、準拠するために必要なポリシー、手順、計画、記録、およびその他の文書化された情報の最小セットを指定します。
ISO 27001では、次のドキュメントを作成する必要があります。
これらは必須の記録です:
もちろん、企業は追加のセキュリティドキュメントを作成することを決定する場合があります。必要と判断した場合。
これらの各ドキュメントの詳細な説明を確認するには、ISO 27001(2013リビジョン)で必要な必須ドキュメントのチェックリストを無料でダウンロードしてください。
ISO27001の費用はいくらですか。 ?
ISMSの実装と認証のコストは、組織ごとに異なるISMSスコープのサイズと複雑さによって異なります。コストは、実装に使用するさまざまなサービスの現地価格にも依存します。
大まかに言えば、考慮すべきコストの一部は次のとおりです。
- トレーニングと文献
- 外部支援
- テクノロジー更新/実装予定
- 従業員の労力と時間
- 認証機関の費用
認証の詳細な説明を表示するには費用については、無料のホワイトペーパーをダウンロードしてください。ISO27001実装プロジェクトの予算を立てる方法。
「ISO27001認定」とは何ですか?
企業は、認定を受けた人を招待することでISO27001認定を取得できます。認証機関は、認証監査を実施し、監査が成功した場合は、ISO 27001証明書を会社に発行します。この証明書は、会社がISO27001規格に完全に準拠していることを意味します。
個人ISO 27001トレーニングを経て試験に合格することで、ISO 27001認定を取得できます。この認定は、この人がコース中に適切なスキルを習得したことを意味します。
ISO 27001は、一度認証されるとどのくらい有効ですか?
認証機関が企業にISO27001証明書を発行すると、その認証機関は3年間有効であり、その間、認証機関は監視監査を実行して、組織がISMSを適切に維持しているかどうかを評価します。必要に応じて、改善が期限内に実施されます。
ISO 27001の認定を受けている企業はどれですか?
ISO.org Webサイトには、業界、国、サイトの数などで分類された認定組織の概要が掲載されています。このリンクのISO調査:https://www.iso.org/the-iso-survey.html。
特定の企業がISO27001の認証を受けているかどうかを確認するには、認証機関に連絡する必要があります。認定企業の公式集中データベース。
ISO認定を受けることはできますか?
はい。次のトレーニングの1つ以上に参加し、合格することで、ISO27001認定を取得できます。試験:
- ISO 27001リード実装者コース–このトレーニングは上級開業医とコンサルタントを対象としています。
- ISO 27001リード監査人コース–このトレーニングは認定資格のある監査人を対象としています。組織およびコンサルタント向け。
- ISO 27001内部監査人コース–このトレーニングは、社内で内部監査を実施する人を対象としています。
- ISO 27001基礎コース–このトレーニングは、規格の基本と実装の主な手順を学びたい人を対象としています。
ISO27000規格とは何ですか?
ISMSの要件を定義しているため、ISO27001はISO27000ファミリの規格の主要な規格です。ただし、主に必要なものを定義し、その方法を指定していないため、追加のガイダンスを提供するために、他のいくつかの情報セキュリティ標準が開発されています。現在、ISO27kシリーズには40を超える規格があり、最も一般的に使用されている規格は次のとおりです。
ISO / IEC 27000は、ISO27kシリーズの規格で使用される用語と定義を提供します。
ISO / IEC 27002は、ISO 27001 Annex Aにリストされているコントロールの実装に関するガイドラインを提供します。これらのコントロールの実装方法の詳細を提供するため、非常に便利です。
ISO / IEC 27004は、情報セキュリティの測定に関するガイドラインを提供します。これは、ISMSがその目的を達成したかどうかを判断する方法を説明しているため、ISO27001によく適合します。
ISO / IEC 27005は、情報セキュリティリスク管理のガイドラインを提供します。これは、ISO 27001の非常に優れた補足です。これは、リスク評価とリスク処理の実行方法の詳細を提供するためです。これは、おそらく実装の最も難しい段階です。
ISO / IEC 27017は、クラウド環境における情報セキュリティのガイドラインを提供します。
ISO / IEC 27018は、クラウド環境でのプライバシー保護のガイドラインを提供します。
ISO / IEC 27031は、情報通信技術(ICT)のビジネス継続性を開発する際に考慮すべき事項に関するガイドラインを提供します。この標準は、情報セキュリティとビジネス継続性の実践の間の優れたリンクです。
ISO27001の現在のバージョンは何ですか?
この記事の発行日現在、 ISO27001はISO / IEC 27001:2013です。
ISO 27001の最初のバージョンは2005年にリリースされ(ISO / IEC 27001:2005)、2番目のバージョンは2013年にリリースされ、標準は2019年に最後にレビューされました。 、2013バージョンが確認されたとき(つまり、変更は必要ありませんでした)。
ISOのメンバーであるさまざまな国が、標準を自国の言語に翻訳し、マイナーな追加を行うことができることに注意することが重要です(例: 、国内の序文)標準の国際版の内容に影響を与えません。これらの「バージョン」には、国際規格と区別するための追加の文字があります。たとえば、NBR ISO / IEC 27001は「ブラジルバージョン」を示し、BS ISO / IEC27001は「英国バージョン」を示します。これらのローカルバージョンの規格には、ローカル標準化機関によって採用された年も含まれているため、最新の英国バージョンはBS EN ISO / IEC 27001:2017です。つまり、ISO / IEC 27001:2013が英国規格協会によって採用されました。
ISO27001と27002の違いは何ですか?
ISO 27001は情報セキュリティ管理システム(ISMS)の要件を定義し、ISO27002は実装に関するガイダンスを提供しますISO27001付属書Aのコントロールの一覧。
つまり、各コントロールについて、ISO 27001は簡単な説明のみを提供し、ISO27002は詳細なガイダンスを提供します。
の違いは何ですか。 NISTおよびISO27001?
ISO 27001は国際規格ですが、NISTは、米国で測定規格を推進および維持する米国政府機関です。その中には、SP800シリーズが含まれています。情報セキュリティのベストプラクティス。
同じではありませんが、NIST SP800シリーズとISO27001を一緒に使用して、情報セキュリティを実装できます。
ISO 27001は必須ですか?
ほとんどの国では、ISO27001の実装は必須ではありません。ただし、一部の国では、特定の業界にISO27001の実装を義務付ける規制が公開されています。
ISO 27001が会社に必須かどうかを判断するには、事業を行っている国で専門家の法的アドバイスを探す必要があります。
ISO 27001の規制とは何ですか?
公的および私的組織は、プロバイダーとの契約およびサービス契約における法的要件としてISO27001への準拠を定義できます。さらに、前述のように、各国は、ISO 27001の採用を、その地域で活動する組織が満たすべき法的要件に変える法律または規制を定義できます。
EU GDPRの詳細と、それが全世界に適用される理由については、こちらの記事をご覧ください。