この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
0 はじめに
0.1 背景と文脈
この国際規格は、組織が ISO/IEC 27001 [10]に基づく情報セキュリティ マネジメント システム (ISMS) を実装するプロセス内でコントロールを選択するための参照として、または一般的に受け入れられている情報セキュリティ コントロールを実装する組織のガイダンス ドキュメントとして使用するために設計されています。 .この規格は、特定の情報セキュリティ リスク環境を考慮して、業界および組織固有の情報セキュリティ管理ガイドラインを作成する際にも使用することを目的としています。
あらゆる種類と規模の組織 (公共部門と民間部門、商業部門と非営利部門を含む) は、電子的、物理的、口頭 (会話やプレゼンテーションなど) を含むさまざまな形式で情報を収集、処理、保存、送信します。
情報の価値は、書かれた言葉、数字、画像を超えています。知識、概念、アイデア、ブランドは、無形の情報の例です。相互接続された世界では、情報と関連するプロセス、システム、ネットワーク、およびそれらの運用、処理、保護に関与する人員は、他の重要なビジネス資産と同様に、組織のビジネスにとって価値があり、結果としてさまざまな危険に対する保護に値する、または必要とする資産です。
資産は意図的および偶発的な脅威の対象となりますが、関連するプロセス、システム、ネットワーク、および人には固有の脆弱性があります。ビジネス プロセスやシステムの変更、またはその他の外部の変更 (新しい法律や規制など) によって、新たな情報セキュリティ リスクが発生する可能性があります。したがって、脅威が脆弱性を利用して組織に危害を加える可能性がある方法が多数あることを考えると、情報セキュリティのリスクは常に存在します。効果的な情報セキュリティは、組織を脅威や脆弱性から保護することでこれらのリスクを軽減し、その資産への影響を軽減します。
情報セキュリティは、ポリシー、プロセス、手順、組織構造、ソフトウェアおよびハードウェア機能を含む一連の適切な制御を実装することによって達成されます。これらのコントロールは、組織の特定のセキュリティおよびビジネス目標が確実に達成されるように、必要に応じて確立、実装、監視、レビュー、および改善する必要があります。 ISO/IEC 27001 [10]で指定されているような ISMS は、一貫した管理システムの全体的なフレームワークの下で情報セキュリティ コントロールの包括的なスイートを実装するために、組織の情報セキュリティ リスクの全体論的で調整されたビューを取ります。
多くの情報システムは、ISO/IEC 27001 [10]およびこの標準の意味で安全になるように設計されていません。技術的手段によって達成できるセキュリティは限定的であり、適切な管理と手順によってサポートする必要があります。どのコントロールを導入する必要があるかを特定するには、慎重な計画と細部への注意が必要です。 ISMS を成功させるには、組織内のすべての従業員のサポートが必要です。また、株主、サプライヤー、またはその他の外部関係者の参加が必要になる場合もあります。外部の関係者からの専門的なアドバイスも必要になる場合があります。
より一般的な意味では、効果的な情報セキュリティは、組織の資産が合理的に安全であり、害から保護されていることを経営陣やその他の利害関係者に保証し、それによってビジネスの成功要因として機能します。
0.2 情報セキュリティ要件
組織がそのセキュリティ要件を特定することは不可欠です。セキュリティ要件には、主に次の 3 つのソースがあります。
- a)組織の全体的なビジネス戦略と目的を考慮した、組織に対するリスクの評価。リスク評価を通じて、資産に対する脅威が特定され、脆弱性と発生の可能性が評価され、潜在的な影響が推定されます。
- b)組織、その取引先、請負業者およびサービス提供者が満たさなければならない法的、法定、規制および契約上の要件、およびそれらの社会文化的環境。
- c)組織がその運用をサポートするために開発した、情報の取り扱い、処理、保管、通信、およびアーカイブに関する一連の原則、目的、およびビジネス要件。
コントロールの実装に使用されるリソースは、それらのコントロールがない場合にセキュリティの問題から生じる可能性が高いビジネス上の損害に対してバランスを取る必要があります。リスク評価の結果は、情報セキュリティ リスクを管理し、これらのリスクから保護するために選択されたコントロールを実装するための適切な管理アクションと優先順位を導き、決定するのに役立ちます。
ISO/IEC 27005 [11]は、リスク評価、リスク対応、リスク受容、リスク コミュニケーション、リスク監視、およびリスク レビューに関するアドバイスを含む、情報セキュリティ リスク管理のガイダンスを提供します。
0.3 コントロールの選択
コントロールは、この標準または他のコントロール セットから選択できます。また、必要に応じて、特定のニーズを満たす新しいコントロールを設計することもできます。
コントロールの選択は、リスク受容の基準、リスク対応オプション、および組織に適用される一般的なリスク管理アプローチに基づく組織の決定に依存し、関連するすべての国内および国際法および規制の対象となる必要があります。コントロールの選択は、コントロールが相互作用して多層防御を提供する方法にも依存します。
この標準のコントロールの一部は、情報セキュリティ管理の指針と見なすことができ、ほとんどの組織に適用できます。コントロールについては、実装ガイダンスとともに以下で詳しく説明します。コントロールおよびその他のリスク対応オプションの選択に関する詳細情報は、ISO/IEC 27005 に記載されています。 [11]
0.4 独自のガイドラインの作成
この国際規格は、組織固有のガイドラインを開発するための出発点と見なすことができます。この行動規範のすべてのコントロールとガイダンスが適用されるわけではありません。さらに、この規格に含まれていない追加の管理とガイドラインが必要になる場合があります。追加のガイドラインや管理策を含む文書を作成する場合、監査人やビジネス パートナーによるコンプライアンス チェックを容易にするために、該当する場合はこの規格の条項への相互参照を含めると便利な場合があります。
0.5ライフサイクルに関する考慮事項
情報には、作成と発生から、保存、処理、使用、送信、最終的な破壊または崩壊までの自然なライフサイクルがあります。資産の価値とリスクは、その存続期間中に変化する可能性があります (たとえば、会社の金融口座の無許可の開示や盗難は、正式に公開された後はそれほど重要ではありません) が、情報セキュリティはすべての段階である程度重要なままです。
情報システムにはライフサイクルがあり、構想、仕様、設計、開発、テスト、実装、使用、保守、そして最終的にはサービスの廃止と廃棄が行われます。あらゆる段階で情報セキュリティを考慮する必要があります。新しいシステムの開発と既存のシステムの変更は、実際のインシデントと現在および予測される情報セキュリティ リスクを考慮して、組織がセキュリティ コントロールを更新および改善する機会を提供します。
0.6 関連規格
この規格は、多くの異なる組織で一般的に適用される幅広い情報セキュリティ管理に関するガイダンスを提供しますが、ISO/IEC 27000 ファミリーの残りの規格は、情報セキュリティ管理のプロセス全体の他の側面に関する補足的なアドバイスまたは要件を提供します。
ISMS と一連の規格の概要については、ISO/IEC 27000 を参照してください。 ISO/IEC 27000 は用語集を提供し、ISO/IEC 27000 規格ファミリー全体で使用される用語のほとんどを正式に定義し、ファミリーの各メンバーの範囲と目的を説明します。
0 Introduction
0.1Background and context
This International Standard is designed for organizations to use as a reference for selecting controls within the process of implementing an Information Security Management System (ISMS) based on ISO/IEC 27001 [10] or as a guidance document for organizations implementing commonly accepted information security controls. This standard is also intended for use in developing industry- and organization-specific information security management guidelines, taking into consideration their specific information security risk environment(s).
Organizations of all types and sizes (including public and private sector, commercial and non-profit) collect, process, store and transmit information in many forms including electronic, physical and verbal (e.g. conversations and presentations).
The value of information goes beyond the written words, numbers and images: knowledge, concepts, ideas and brands are examples of intangible forms of information. In an interconnected world, information and related processes, systems, networks and personnel involved in their operation, handling and protection are assets that, like other important business assets, are valuable to an organization’s business and consequently deserve or require protection against various hazards.
Assets are subject to both deliberate and accidental threats while the related processes, systems, networks and people have inherent vulnerabilities. Changes to business processes and systems or other external changes (such as new laws and regulations) may create new information security risks. Therefore, given the multitude of ways in which threats could take advantage of vulnerabilities to harm the organization, information security risks are always present. Effective information security reduces these risks by protecting the organization against threats and vulnerabilities, and then reduces impacts to its assets.
Information security is achieved by implementing a suitable set of controls, including policies, processes, procedures, organizational structures and software and hardware functions. These controls need to be established, implemented, monitored, reviewed and improved, where necessary, to ensure that the specific security and business objectives of the organization are met. An ISMS such as that specified in ISO/IEC 27001 [10] takes a holistic, coordinated view of the organization’s information security risks in order to implement a comprehensive suite of information security controls under the overall framework of a coherent management system.
Many information systems have not been designed to be secure in the sense of ISO/IEC 27001 [10] and this standard. The security that can be achieved through technical means is limited and should be supported by appropriate management and procedures. Identifying which controls should be in place requires careful planning and attention to detail. A successful ISMS requires support by all employees in the organization. It can also require participation from shareholders, suppliers or other external parties. Specialist advice from external parties can also be needed.
In a more general sense, effective information security also assures management and other stakeholders that the organization’s assets are reasonably safe and protected against harm, thereby acting as a business enabler.
0.2Information security requirements
It is essential that an organization identifies its security requirements. There are three main sources of security requirements:
- a) the assessment of risks to the organization, taking into account the organization’s overall business strategy and objectives. Through a risk assessment, threats to assets are identified, vulnerability to and likelihood of occurrence is evaluated and potential impact is estimated;
- b) the legal, statutory, regulatory and contractual requirements that an organization, its trading partners, contractors and service providers have to satisfy, and their socio-cultural environment;
- c) the set of principles, objectives and business requirements for information handling, processing, storing, communicating and archiving that an organization has developed to support its operations.
Resources employed in implementing controls need to be balanced against the business harm likely to result from security issues in the absence of those controls. The results of a risk assessment will help guide and determine the appropriate management action and priorities for managing information security risks and for implementing controls selected to protect against these risks.
ISO/IEC 27005 [11] provides information security risk management guidance, including advice on risk assessment, risk treatment, risk acceptance, risk communication, risk monitoring and risk review.
0.3Selecting controls
Controls can be selected from this standard or from other control sets, or new controls can be designed to meet specific needs as appropriate.
The selection of controls is dependent upon organizational decisions based on the criteria for risk acceptance, risk treatment options and the general risk management approach applied to the organization, and should also be subject to all relevant national and international legislation and regulations. Control selection also depends on the manner in which controls interact to provide defence in depth.
Some of the controls in this standard can be considered as guiding principles for information security management and applicable for most organizations. The controls are explained in more detail below along with implementation guidance. More information about selecting controls and other risk treatment options can be found in ISO/IEC 27005.[11]
0.4Developing your own guidelines
This International Standard may be regarded as a starting point for developing organization-specific guidelines. Not all of the controls and guidance in this code of practice may be applicable. Furthermore, additional controls and guidelines not included in this standard may be required. When documents are developed containing additional guidelines or controls, it may be useful to include cross-references to clauses in this standard where applicable to facilitate compliance checking by auditors and business partners.
0.5Lifecycle considerations
Information has a natural lifecycle, from creation and origination through storage, processing, use and transmission to its eventual destruction or decay. The value of, and risks to, assets may vary during their lifetime (e.g. unauthorized disclosure or theft of a company’s financial accounts is far less significant after they have been formally published) but information security remains important to some extent at all stages.
Information systems have lifecycles within which they are conceived, specified, designed, developed, tested, implemented, used, maintained and eventually retired from service and disposed of. Information security should be taken into account at every stage. New system developments and changes to existing systems present opportunities for organizations to update and improve security controls, taking actual incidents and current and projected information security risks into account.
0.6Related standards
While this standard offers guidance on a broad range of information security controls that are commonly applied in many different organizations, the remaining standards in the ISO/IEC 27000 family provide complementary advice or requirements on other aspects of the overall process of managing information security.
Refer to ISO/IEC 27000 for a general introduction to both ISMSs and the family of standards. ISO/IEC 27000 provides a glossary, formally defining most of the terms used throughout the ISO/IEC 27000 family of standards, and describes the scope and objectives for each member of the family.