この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質に関する説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、次を参照してください。次の URL: www.iso.org/iso/foreword.html
この文書は、技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, IT セキュリティ技術によって作成されました。
この第 3 版は、技術的に改訂された第 2 版 (ISO/IEC 27005:2011) を取り消して置き換えるものです。前作からの主な変更点は以下の通り。
- ISO/IEC 27001:2005 への直接の参照はすべて削除されました。
- このドキュメントには、ISO/IEC 27001 で指定された ISMS 要件の実装に関する直接的なガイダンスが含まれていないという明確な情報が追加されました (「はじめに」を参照)
- ISO/IEC 27001:2005 は箇条 2 から削除されました。
- ISO/IEC 27001 が参考文献に追加されました。
- 附属書 G およびそれへのすべての参照は削除されました。
- それに応じて編集上の変更が加えられました。
序章
このドキュメントは、組織における情報セキュリティ リスク管理のガイドラインを提供します。ただし、このドキュメントでは、情報セキュリティ リスク管理の具体的な方法については説明していません。情報セキュリティ管理システム (ISMS) の範囲、リスク管理のコンテキスト、または業界部門に応じて、リスク管理へのアプローチを定義するのは組織次第です。 ISMS の要件を実装するために、このドキュメントで説明されているフレームワークの下で、多数の既存の方法論を使用できます。このドキュメントは、ISO/IEC 27001 で要求されなくなった資産、脅威、および脆弱性のリスク識別方法に基づいています。使用できる他のアプローチがいくつかあります。
このドキュメントには、ISO/IEC 27001 で指定されている ISMS 要件の実装に関する直接的なガイダンスは含まれていません。
このドキュメントは、組織内の情報セキュリティ リスク管理に関係するマネージャーとスタッフ、および必要に応じて、そのような活動をサポートする外部関係者に関連しています。
1 スコープ
このドキュメントは、情報セキュリティ リスク管理のガイドラインを提供します。
このドキュメントは、ISO/IEC 27001 で指定された一般的な概念をサポートし、リスク管理アプローチに基づく情報セキュリティの満足のいく実装を支援するように設計されています。
このドキュメントを完全に理解するには、ISO/IEC 27001 および ISO/IEC 27002 で説明されている概念、モデル、プロセス、および用語に関する知識が重要です。
このドキュメントは、組織の情報セキュリティを危険にさらす可能性のあるリスクを管理しようとするすべてのタイプの組織 (営利企業、政府機関、非営利組織など) に適用されます。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
3 用語と定義
このドキュメントの目的のために、ISO/IEC 27000 および以下に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
参考文献
| [1] | ISO/IEC Guide 73, リスク管理 — 語彙 |
| [2] | ISO/IEC 16085, システムおよびソフトウェア工学 - ライフ サイクル プロセス - リスク管理 |
| [3] | ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [4] | ISO/IEC 27002, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [5] | ISO 31000, リスク管理 — 原則とガイドライン |
| [6] | NIST 特別刊行物 800-12, コンピューター セキュリティの概要: NIST ハンドブック |
| [7] | NIST Special Publication 800-30, 情報技術システムのリスク管理ガイド、米国国立標準技術研究所の推奨事項 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
This third edition cancels and replaces the second edition (ISO/IEC 27005:2011) which has been technically revised. The main changes from the previous edition are as follows:
- all direct references to the ISO/IEC 27001:2005 have been removed;
- clear information has been added that this document does not contain direct guidance on the implementation of the ISMS requirements specified in ISO/IEC 27001 (see Introduction);
- ISO/IEC 27001:2005 has been removed from Clause 2;
- ISO/IEC 27001 has been added to the Bibliography;
- Annex G and all references to it have been removed;
- editorial changes have been made accordingly.
Introduction
This document provides guidelines for information security risk management in an organization. However, this document does not provide any specific method for information security risk management. It is up to the organization to define their approach to risk management, depending for example on the scope of an information security management system (ISMS), context of risk management, or industry sector. A number of existing methodologies can be used under the framework described in this document to implement the requirements of an ISMS. This document is based on the asset, threat and vulnerability risk identification method that is no longer required by ISO/IEC 27001. There are some other approaches that can be used.
This document does not contain direct guidance on the implementation of the ISMS requirements given in ISO/IEC 27001.
This document is relevant to managers and staff concerned with information security risk management within an organization and, where appropriate, external parties supporting such activities.
1 Scope
This document provides guidelines for information security risk management.
This document supports the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory implementation of information security based on a risk management approach.
Knowledge of the concepts, models, processes and terminologies described in ISO/IEC 27001 and ISO/IEC 27002 is important for a complete understanding of this document.
This document is applicable to all types of organizations (e.g. commercial enterprises, government agencies, non-profit organizations) which intend to manage risks that can compromise the organization’s information security.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
Bibliography
| [1] | ISO/IEC Guide 73, Risk management — Vocabulary |
| [2] | ISO/IEC 16085, Systems and software engineering — Life cycle processes — Risk management |
| [3] | ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements |
| [4] | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls |
| [5] | ISO 31000, Risk management — Principles and guidelines |
| [6] | NIST Special Publication 800-12, An Introduction to Computer Security: The NIST Handbook |
| [7] | NIST Special Publication 800-30, Risk Management Guide for Information Technology Systems, Recommendations of the National Institute of Standards and Technology |