この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
適合性評価に関連する ISO 固有の用語および表現の意味に関する説明、および技術的貿易障壁 (TBT) における ISO の WTO 原則への準拠に関する情報については、次の URL を参照して ください 。
この文書を担当する委員会は、ISO/IEC JTC 1, 情報技術、SC 27 itセキュリティ技術です。
この第 2 版は、ISO/IEC 27001:2013 および ISO/IEC 27002:2013 との互換性のために改訂された第 1 版 (ISO/IEC 27010:2012) を取り消して置き換えます。
序章
この国際規格は、情報共有コミュニティで使用するための、ISO/IEC 27001:2013 および ISO/IEC 27002:2013 に対するセクター固有の補足です。この国際規格に含まれるガイドラインは、規格の ISO/IEC 27000 ファミリの他のメンバー内で提供される一般的なガイダンスに追加され、補完されます。
ISO/IEC 27001:2013 および ISO/IEC 27002:2013 は、組織間の情報交換に対応していますが、一般的な方法で行っています。組織が機密情報を他の複数の組織に伝達したい場合、発信者は、それらの他の組織での使用が受信組織によって実装された適切なセキュリティ制御の対象となるという確信を持たなければなりません。これは、組織が互いに競合している場合でも、各メンバーが他のメンバーを信頼して共有情報を保護する情報共有コミュニティを確立することによって達成できます。
情報共有コミュニティは、信頼がなければ機能しません。情報を提供する人は、受信者がデータを不適切に開示したり、それに基づいて行動したりしないことを信頼できなければなりません。情報を受け取る側は、情報が正確であることを信頼できなければなりませんが、発信者から通知された条件に従う必要があります。どちらの側面も重要であり、明らかに効果的なセキュリティ ポリシーと優れた実践の使用によってサポートされなければなりません。これを実現するには、コミュニティ メンバー全員が、共有情報のセキュリティをカバーする共通の管理システムを実装する必要があります。情報共有コミュニティのための情報セキュリティマネジメントシステム(ISMS)です。
さらに、すべての受信者が発信者に知られているわけではない情報共有コミュニティ間で情報共有を行うことができます。これは、コミュニティとその情報共有契約の間に十分な信頼がある場合にのみ機能します。これは、異なる業界や市場セクターなど、多様なコミュニティ間での機密情報の共有に特に関連しています。
1 スコープ
この国際規格は、情報共有コミュニティ内で情報セキュリティ管理を実装するための規格の ISO/IEC 27000 ファミリで提供されるガイダンスに加えて、ガイドラインを提供します。
この国際規格は、組織間および部門間の通信における情報セキュリティの開始、実装、維持、および改善に特に関連する管理とガイダンスを提供します。確立されたメッセージングやその他の技術的方法を使用して、指定された要件を満たす方法に関するガイドラインと一般原則を提供します。
この国際規格は、同じ業界または市場部門内、または部門間で、公的および私的な、国内および国際的な、あらゆる形態の機密情報の交換および共有に適用されます。特に、組織または国家の重要なインフラストラクチャの提供、維持、および保護に関連する情報交換および共有に適用できる場合があります。機密情報を交換および共有する際の信頼の構築をサポートするように設計されているため、情報共有コミュニティの国際的な成長が促進されます。
2 参考文献
以下のドキュメントの全体または一部は、このドキュメントで規範的に参照されており、その適用に不可欠です。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000:2014, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
- ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
- ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準
3 用語と定義
このドキュメントでは、ISO/IEC 27000:2014 の用語と定義が適用されます。
参考文献
| [1] | インターネット エンジニアリングタスクフォース、 RFC4021:メールおよび MIME ヘッダー フィールドの登録[オンライン 2005 年 3 月 [2014 年 10 月閲覧 http://datatracker.ietf.org/doc/rfc4021/ |
| [2] | ISO/IEC 27006:2011, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システムの監査と認証を提供する機関の要件。 |
| [3] | オライリー、ティム。 Web 2.0 とは - 次世代ソフトウェアのデザイン パターンとビジネス モデル。 O'Reilly Web ブログ [オンライン 2005 年 9 月 30 日 [2014 年 10 月閲覧 http://oreilly.com/web2/archive/what-is-web-20.html |
| [4] | ウィキペディア、he百科事典、パレート分布[オンライン 2011 年 4 月 25 日 [2014 年 10 月閲覧 http://en.wikipedia.org/wiki/Pareto_distribution |
| [5] | 欧州ネットワークおよび情報セキュリティ機関、情報共有に関するグッド プラクティスガイド。 2009 年 6 月 [2014 年 10 月閲覧 http://www.enisa.europa.eu/activities/Resilience-and-CIIP/public-private-partnership/information-sharing-exchange/good-practice-guide |
| [6] | Center for theProtection ofNationalInfrastructur, WARP ホームページ。 2010 年 4 月 [2014 年 10 月閲覧入手先: http://www.warp.gov.uk |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/IEC JTC 1, Information technology, SC 27, itSecurity techniques.
This second edition cancels and replaces the first edition (ISO/IEC 27010:2012), which has been revised for compatibility with ISO/IEC 27001:2013 and ISO/IEC 27002:2013.
Introduction
This International Standard is a sector-specific supplement to ISO/IEC 27001:2013 and ISO/IEC 27002:2013 for use by information sharing communities. The guidelines contained within this International Standard are in addition to, and complement, the generic guidance given within other members of the ISO/IEC 27000 family of standards.
ISO/IEC 27001:2013 and ISO/IEC 27002:2013 address information exchange between organizations, but they do so in a generic manner. When organizations wish to communicate sensitive information to multiple other organizations, the originator must have confidence that its use in those other organizations will be subject to adequate security controls implemented by the receiving organizations. This can be achieved through the establishment of an information sharing community, where each member trusts the other members to protect the shared information, even though the organizations may otherwise be in competition with each other.
An information sharing community cannot work without trust. Those providing information must be able to trust the recipients not to disclose or to act upon the data inappropriately. Those receiving information must be able to trust that information is accurate, subject to any qualifications notified by the originator. Both aspects are important, and must be supported by demonstrably effective security policies and the use of good practice. To achieve this, the community members must all implement a common management system covering the security of the shared information. This is an information security management system (ISMS) for the information sharing community.
In addition, information sharing can take place between information sharing communities where not all recipients will be known to the originator. This will only work if there is adequate trust between the communities and their information sharing agreements. It is particularly relevant to the sharing of sensitive information between diverse communities, such as different industry or market sectors.
1 Scope
This International Standard provides guidelines in addition to the guidance given in the ISO/IEC 27000 family of standards for implementing information security management within information sharing communities.
This International Standard provides controls and guidance specifically relating to initiating, implementing, maintaining, and improving information security in inter-organizational and inter-sector communications. It provides guidelines and general principles on how the specified requirements can be met using established messaging and other technical methods.
This International Standard is applicable to all forms of exchange and sharing of sensitive information, both public and private, nationally and internationally, within the same industry or market sector or between sectors. In particular, it may be applicable to information exchanges and sharing relating to the provision, maintenance and protection of an organization’s or nation state’s critical infrastructure. It is designed to support the creation of trust when exchanging and sharing sensitive information, thereby encouraging the international growth of information sharing communities.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000:2014, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements
- ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls
3 Terms and definitions
For the purposes of this document, the terms and definitions in ISO/IEC 27000:2014 apply.
Bibliography
| [1] | Internet Engineering Task Force, RFC 4021: Registration of Mail and MIME Header Fields [online]. March 2005 [viewed October 2014]. http://datatracker.ietf.org/doc/rfc4021/ |
| [2] | ISO/IEC 27006:2011, Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems. |
| [3] | O'REILLY, Tim. What Is Web 2.0 - Design Patterns and Business Models for the Next Generation of Software. O’Reilly Web Blog [online]. 30 September 2005 [viewed October 2014]. http://oreilly.com/web2/archive/what-is-web-20.html |
| [4] | Wikipedia, The Free Encyclopedia, Pareto distribution [online]. 25 April 2011 [viewed October 2014]. http://en.wikipedia.org/wiki/Pareto_distribution |
| [5] | European Agency for Network and Information Security, Good Practice Guide on Information Sharing. June 2009 [viewed October 2014]. http://www.enisa.europa.eu/activities/Resilience-and-CIIP/public-private-partnership/information-sharing-exchange/good-practice-guide |
| [6] | Centre for the Protection of National Infrastructure (UK), WARP homepage. April 2010 [viewed October 2014]. Available from: http://www.warp.gov.uk |