※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質に関する説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則に対する ISO の遵守に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html .
この文書は、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
この第 2 版は、技術的に改訂された第 1 版 (ISO/IEC 27009:2016) を取り消して置き換えるものです。
前作からの主な変更点は以下の通り。
- このドキュメントの内容をより明確に反映するように範囲が更新されました。
- 以前の附属書 A は、附属書 A と B に分割されました。
- 附属書 C が作成されました。
1 スコープ
このドキュメントは、ISO/IEC 27001 を拡張し、特定のセクター (ドメイン、アプリケーション領域、または市場) をサポートするために ISO/IEC 27002 を補完または修正する、セクター固有の標準を作成するための要件を指定します。
このドキュメントでは、次の方法について説明します。
- ISO/IEC 27001 の要件に加えて要件を含める
- ISO/IEC 27001 要件のいずれかを改良または解釈する。
- ISO/IEC 27001:2013, 附属書 A, および ISO/IEC 27002 の管理に加えて、管理を含める
- ISO/IEC 27001:2013, 附属書 A, および ISO/IEC 27002 のいずれかの管理を変更する。
- ISO/IEC 27002 のガイダンスにガイダンスを追加または変更する。
このドキュメントは、追加または改良された要件が ISO/IEC 27001 の要件を無効にしないことを指定します。
この文書は、セクター固有の規格の作成に携わる人々に適用されます。
2 参考文献
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
- ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
- ISO/IEC 27002, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準
3 用語と定義
このドキュメントの目的のために、ISO/IEC 27000 および以下に記載されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
解釈
解釈
ISO/IEC 27001 要件のいずれも無効にしない、セクター固有のコンテキストでの ISO/IEC 27001 要件の説明
注記1:説明は、要件またはガイダンスのいずれかに関連する可能性があります。
3.2
リファイン
洗練
ISO/IEC 27001 要件のいずれかを削除または無効にしない、セクター固有のコンテキストでの ISO/IEC 27001 要件の補足または適応
参考文献
| [1] | ISO/IEC 27010, 情報技術 — セキュリティ技術 — セクター間および組織間通信のための情報セキュリティ管理 |
| [2] | ISO/IEC 27011, 情報技術 — セキュリティ技術 — 電気通信組織向けの ISO/IEC 27002 に基づく情報セキュリティ管理のための実施基準 |
| [3] | ISO/IEC 27017, 情報技術 — セキュリティ技術 — クラウド サービス向けの ISO/IEC 27002 に基づく情報セキュリティ管理の実施基準 |
| [4] | ISO/IEC 27018, 情報技術 - セキュリティ技術 - PII プロセッサとして機能するパブリック クラウドでの個人を特定できる情報 (PII) の保護のための実践規範 |
| [5] | ISO/IEC 27019, 情報技術 — セキュリティ技術 — エネルギー ユーティリティ業界向けの情報セキュリティ管理 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This second edition cancels and replaces the first edition (ISO/IEC 27009:2016), which has been technically revised.
The main changes compared to the previous edition are as follows:
- the scope has been updated to more clearly reflect the content of this document;
- former Annex A has been divided into Annexes A and B;
- Annex C has been created.
1 Scope
This document specifies the requirements for creating sector-specific standards that extend ISO/IEC 27001, and complement or amend ISO/IEC 27002 to support a specific sector (domain, application area or market).
This document explains how to:
- include requirements in addition to those in ISO/IEC 27001,
- refine or interpret any of the ISO/IEC 27001 requirements,
- include controls in addition to those of ISO/IEC 27001:2013, Annex A and ISO/IEC 27002,
- modify any of the controls of ISO/IEC 27001:2013, Annex A and ISO/IEC 27002,
- add guidance to or modify the guidance of ISO/IEC 27002.
This document specifies that additional or refined requirements do not invalidate the requirements in ISO/IEC 27001.
This document is applicable to those involved in producing sector-specific standards.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirement of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements
- ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
interpret
interpretation
explanation of an ISO/IEC 27001 requirement in a sector-specific context which does not invalidate any of the ISO/IEC 27001 requirements
Note 1 to entry: The explanation can pertain to either a requirement or guidance.
3.2
refine
refinement
supplementation or adaptation of an ISO/IEC 27001 requirement in a sector-specific context which does not remove or invalidate any of the ISO/IEC 27001 requirements
Bibliography
| [1] | ISO/IEC 27010, Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications |
| [2] | ISO/IEC 27011, Information technology — Security techniques — Code of practice for Information security controls based on ISO/IEC 27002 for telecommunications organizations |
| [3] | ISO/IEC 27017, Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services |
| [4] | ISO/IEC 27018, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors |
| [5] | ISO/IEC 27019, Information technology — Security techniques — Information security controls for the energy utility industry |