この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト ( https://patents.iec.ch )
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則に対する ISO の遵守に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html . IEC については、 www.iec.ch/understanding-standards を参照してください。
この文書は、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
この第 3 版は、技術的に改訂された第 2 版 (ISO/IEC 27001:2013) を取り消して置き換えるものです。また、技術正誤表 ISO/IEC 27001:2013/Cor 1:2014 および ISO/IEC 27001:2013/Cor 2:2015 も組み込まれています。
主な変更点は次のとおりです。
— テキストは、マネジメントシステム規格および ISO/IEC 27002:2022 の調和構造に合わせて調整されています。
序章
0.1 一般
このドキュメントは、情報セキュリティ管理システムを確立、実装、維持、および継続的に改善するための要件を提供するために作成されました. 情報セキュリティ管理システムの採用は、組織にとって戦略的な決定です.組織の情報セキュリティ管理システムの確立と実装は、組織のニーズと目的、セキュリティ要件、使用される組織プロセス、および組織の規模と構造に影響されます。これらの影響要因はすべて、時間の経過とともに変化すると予想されます。
情報セキュリティ管理システムは、リスク管理プロセスを適用することにより、情報の機密性、完全性、および可用性を維持し、リスクが適切に管理されているという信頼を利害関係者に与えます。
情報セキュリティ管理システムが組織のプロセスおよび全体的な管理構造の一部であり、それらと統合されていること、およびプロセス、情報システム、およびコントロールの設計において情報セキュリティが考慮されていることが重要です。情報セキュリティ管理システムの実装は、組織のニーズに応じて拡張されることが期待されています。
このドキュメントは、組織の情報セキュリティ要件を満たす組織の能力を評価するために、内部および外部の関係者が使用できます。
このドキュメントで要件が示されている順序は、それらの重要性を反映したり、要件が実装される順序を暗示したりするものではありません。リスト項目は参照目的でのみ列挙されています。
ISO/IEC 27000 は、情報セキュリティ マネジメント システムの概要と語彙を説明し、情報セキュリティ マネジメント システムの規格群 (ISO/IEC 27003 [2] 、ISO/IEC 27004 [3] 、および ISO/IEC 27005 [4]を含む) を参照しています。 )、関連する用語と定義。
0.2 他の管理システム規格との互換性
この文書は、ISO/IEC 指令の附属書 SL で定義されている上位構造、同一の副節のタイトル、同一のテキスト、共通の用語、およびコア定義を適用します。 1, Consolidated ISO Supplement, したがって、Annex SL を採用している他のマネジメント システム規格との互換性を維持します。
Annex SL で定義されているこの共通のアプローチは、2 つ以上のマネジメント システム規格の要件を満たす単一のマネジメント システムを運用することを選択した組織に役立ちます。
1 スコープ
このドキュメントは、組織のコンテキスト内で情報セキュリティ管理システムを確立、実装、維持、および継続的に改善するための要件を指定します。このドキュメントには、組織のニーズに合わせて調整された情報セキュリティ リスクの評価と処理に関する要件も含まれています。このドキュメントに記載されている要件は一般的なものであり、種類、規模、または性質に関係なく、すべての組織に適用されることを意図しています。組織がこの文書への適合を主張する場合、箇条 4 から 10 で指定された要件のいずれかを除外することは受け入れられません。
2 規範的な参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
3 用語と定義
このドキュメントの目的のために、ISO/IEC 27000 で指定されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
参考文献
| [1] | ISO/IEC 27002:2022, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理 |
| [2] | ISO/IEC 27003, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - ガイダンス |
| [3] | ISO/IEC 27004, 情報技術 - セキュリティ技術 - 情報セキュリティ管理 - 監視、測定、分析および評価 |
| [4] | ISO/IEC 27005, 情報セキュリティ、サイバーセキュリティ、およびプライバシー保護 — 情報セキュリティ リスクの管理に関するガイダンス |
| [5] | ISO 31000:2018, リスク管理 — ガイドライン |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see https://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information Technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This third edition cancels and replaces the second edition (ISO/IEC 27001:2013), which has been technically revised. It also incorporates the Technical Corrigenda ISO/IEC 27001:2013/Cor 1:2014 and ISO/IEC 27001:2013/Cor 2:2015.
The main changes are as follows:
—the text has been aligned with the harmonized structure for management system standards and ISO/IEC 27002:2022.
Introduction
0.1 General
This document has been prepared to provide requirements for establishing, implementing, maintaining and continually improving an information security management system. The adoption of an information security management system is a strategic decision for an organization. The establishment and implementation of an organization’s information security management system is influenced by the organization’s needs and objectives, security requirements, the organizational processes used and the size and structure of the organization. All of these influencing factors are expected to change over time.
The information security management system preserves the confidentiality, integrity and availability of information by applying a risk management process and gives confidence to interested parties that risks are adequately managed.
It is important that the information security management system is part of and integrated with the organization’s processes and overall management structure and that information security is considered in the design of processes, information systems, and controls. It is expected that an information security management system implementation will be scaled in accordance with the needs of the organization.
This document can be used by internal and external parties to assess the organization's ability to meet the organization’s own information security requirements.
The order in which requirements are presented in this document does not reflect their importance or imply the order in which they are to be implemented. The list items are enumerated for reference purpose only.
ISO/IEC 27000 describes the overview and the vocabulary of information security management systems, referencing the information security management system family of standards (including ISO/IEC 27003 [2], ISO/IEC 27004 [3] and ISO/IEC 27005[4]), with related terms and definitions.
0.2 Compatibility with other management system standards
This document applies the high-level structure, identical sub-clause titles, identical text, common terms, and core definitions defined in Annex SL of ISO/IEC Directives, 1, Consolidated ISO Supplement, and therefore maintains compatibility with other management system standards that have adopted the Annex SL.
This common approach defined in the Annex SL will be useful for those organizations that choose to operate a single management system that meets the requirements of two or more management system standards.
1 Scope
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
Bibliography
| [1] | ISO/IEC 27002:2022, Information security, cybersecurity and privacy protection — Information security controls |
| [2] | ISO/IEC 27003, Information technology — Security techniques — Information security management systems — Guidance |
| [3] | ISO/IEC 27004, Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation |
| [4] | ISO/IEC 27005, Information security, cybersecurity and privacy protection — Guidance on managing information security risks |
| [5] | ISO 31000:2018, Risk management — Guidelines |