この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、国家標準化団体 (ISO メンバー団体) の世界的な連合体です。国際規格の作成作業は通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。政府および非政府の国際機関も ISO と連携してこの作業に参加しています。 ISO は、電気技術の標準化に関するあらゆる事項について国際電気標準会議 (IEC) と緊密に協力しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまな種類の ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
ISO は、この文書の実装には特許の使用が含まれる可能性があることに注意を促します。 ISO は、請求された特許権に関する証拠、有効性、または適用可能性に関していかなる立場もとりません。この文書の発行日の時点で、ISO はこの文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents で入手可能な特許データベースから取得できる最新情報を表していない可能性があることに注意してください。 ISO は、かかる特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html
この文書は、ISO/TC 292 のセキュリティと復元力に関する技術委員会によって作成されました。
序章
すべての組織は、環境内のセキュリティ リスクを管理し、資産の適切な保護レベルを確保し、利害関係者の利益を維持し、目的を達成することを目指しています。
組織は、セキュリティに対する構造化されたアプローチを確立し、維持する必要がある場合があります。
セキュリティ計画の目的は、セキュリティに対する脅威から組織を保護するために、すべての適切なアクションと制御が確実に実施されるようにすることです。
この文書は、保護セキュリティ アーキテクチャのガイダンスを含む構造のセキュリティ計画の実装に関するガイダンスを提供します。したがって、セキュリティ計画を既存の管理システムに効果的に統合できます。
組織のリスク管理プロセスをセキュリティ計画モデルに統合することで、適切なセキュリティ管理がサポートされます。セキュリティ計画は、説明責任と責任を割り当て、組織をセキュリティ リスクから保護するための制御の適用をガイドするように設計されています。
適応性と機敏性を備えた計画的なアプローチにより、計画外の状況に対するソリューションを提供することが可能になります。セキュリティの脅威は動的であり、多くの場合予期せぬものです。したがって、このドキュメントでは、適応的で機敏な計画的アプローチのための技術的要素と人的要素の両方を紹介します。
この文書の目的は、組織の保護を改善し維持するために必要な基本的な要素を提供することです。
1 スコープ
この文書は、セキュリティ計画の作成と維持に関するガイダンスを提供します。セキュリティ計画は、組織が効果的なセキュリティ計画を確立する方法と、組織のリスク管理実践にセキュリティを統合する方法を説明します。
この文書は、民間、公共、非営利部門など、種類、規模、性質に関係なく、一貫した方法で効果的なセキュリティ計画を策定したいすべての組織に適用されます。
この文書は、悪意のある行為から資産を保護し、それに関連するリスクを軽減することを目的とした対策を導入しようとしている組織に適用されます。
この文書は、悪意のある行為に対する予防および保護措置を実装または強化する必要性を特定するための具体的な基準を提供しません。民間のセキュリティ会社が提供するサービスや運用には適用されません。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
3 用語と定義
この文書の目的上、ISO 22300, ISO 31000, および以下で与えられる用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
知っておく必要があります
ビジネスまたは運用上の要件に基づいて特定の情報にアクセスする必要があり、情報のセキュリティ レベルとその情報にアクセスする権利を誰が持つかを決定するアクティブなプロセスが含まれます。
参考文献
| 1 | ISO 22316, セキュリティと回復力 — 組織の回復力 — 原則と属性 |
| 2 | ISO 28000:2022, セキュリティと復元力 - セキュリティ管理システム - 要件 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of ISO document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents . ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Introduction
All organizations seek to manage security risks in their environment to ensure appropriate protection levels of their assets, to preserve the interests of interested parties and to achieve their objectives.
Organizations sometimes need to establish and maintain a structured approach to security.
The purpose of a security plan is to ensure that all the appropriate actions and controls are in place to protect the organization from threats to its security.
This document gives guidance on the implementation of a security plan whose structure includes the guidance for protective security architecture. Thus, the security plan can be effectively integrated into an existing management system.
Integrating the organization’s risk management processes into the security plan model supports proper management of security. The security plan is designed to allocate accountability and responsibility, and to guide the application of controls to protect the organization from security risks.
A planned approach that is adaptive and agile makes it possible to provide solutions to unplanned situations. Security threats are dynamic and often unforeseen; therefore, this document introduces both technical and human-related elements for an adaptive and agile planned approach.
The intent of the document is to provide the fundamental elements necessary to improve and sustain the protection of an organization.
1 Scope
This document gives guidance on developing and maintaining security plans. The security plan describes how an organization establishes effective security planning and how it can integrate security within organizational risk management practices.
This document is applicable to all organizations regardless of type, size and nature, whether in the private, public or not-for-profit sectors, that wish to develop effective security plans in a consistent manner.
This document is applicable to any organization intending to implement measures designed to protect their assets against malicious acts and mitigate their associated risks.
This document does not provide specific criteria for identifying the need to implement or enhance prevention and protection measures against malicious acts. It does not apply to services and operations delivered by private security companies.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 22300, Security and resilience — Vocabulary
- ISO 31000, Risk management — Guidelines
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300, ISO 31000 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
need-to-know
need to access specific information based on a business or operational requirement, involving an active process of determining the security level of information and who has the right to access the information
Bibliography
| 1 | ISO 22316, Security and resilience — Organizational resilience — Principles and attributes |
| 2 | ISO 28000:2022, Security and resilience — Security management systems — Requirements |