この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の開発に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令、Part 2 の編集規則に従って作成されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト (patents. iec.ch)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則に対する ISO の遵守に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html . IEC については、 www.iec.ch/understanding-standards を参照してください。
この文書は、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
この第 3 版は、技術的に改訂された第 2 版 (ISO/IEC 27013:2015) を取り消して置き換えるものです。前版と比較した主な変更点は、ISO/IEC 20000-1:2018 との整合です。
ISO/IEC 27000 シリーズのすべての部品のリストは、ISO および IEC の Web サイトにあります。
序章
情報セキュリティ管理とサービス管理の関係は非常に密接であるため、多くの組織は、これらのドメインに 2 つの国際規格 (情報セキュリティ管理用の ISO/IEC 27001 とサービス管理用の ISO/IEC 20000-1) を採用する利点をすでに認識しています。組織が、ある国際規格で指定された要求事項への適合を達成するために運営方法を改善し、次に別の要求事項への適合を達成するためにさらに改善を行うことは一般的です。
管理システムでサービス ライフサイクルと組織の情報保護の両方を考慮に入れることには、組織にとって多くの利点があります。これらの利点は、ある国際規格が他の規格よりも先に実装されるか、ISO/IEC 27001 と ISO/IEC 20000-1 が同時に実装されるかに関係なく経験できます。特に、管理と組織のプロセスは、これらの国際規格とそれらの共通の目的の間の相互に補強する概念と類似性から利益を得ることができます。
情報セキュリティ管理とサービス管理の統合実装の主な利点は次のとおりです。
- a)組織の内部および外部の顧客、および組織のその他の利害関係者に対する、効果的で安全なサービスの信頼性。
- b)サービスと情報セキュリティの両方の効果的かつ効率的な管理が組織の戦略の一部である統合管理システムの実装、維持、および監査のコストの削減。
- c)サービス管理と情報セキュリティ管理の両方をサポートするプロセスの統合開発による実装時間の短縮。
- d)不必要な重複を排除することにより、コミュニケーションが改善され、信頼性が向上し、運用効率が向上します。
- e)サービス管理担当者と情報セキュリティ担当者が互いの視点について理解を深める。
- f) ISO/IEC 27001 と ISO/IEC 20000-1 は要件を補完するため、ISO/IEC 27001 の認定を受けた組織は、ISO/IEC 20000-1:2018, 8.7.3 で指定された情報セキュリティの要件をより簡単に満たすことができます。 .
このドキュメントは、ISO/IEC 27001:2013 および ISO/IEC 20000-1:2018 に基づいています。
このドキュメントは、ISO/IEC 27001 と ISO/IEC 20000-1 を統合しようとしている人、およびこれらの国際規格のいずれか、またはどちらにも精通していない人が使用することを意図しています。
この文書は、ISO/IEC 27001 または ISO/IEC 20000-1 の内容を複製するものではありません。同様に、各国際規格のすべての部分を包括的に説明しているわけではありません。主題が重複または異なる部分のみが詳細に説明されています。このドキュメントのユーザーは、ISO/IEC 20000-1 および ISO/IEC 27001 にアクセスできることを前提としています。
注記組織の管理システムの計画に影響を与える特定の法律が存在する可能性があります。
1 スコープ
この文書は、次のことを意図している組織のために、ISO/IEC 27001 および ISO/IEC 20000-1 の統合された実装に関するガイダンスを提供します。
- a) ISO/IEC 20000-1 がすでに実装されている場合は ISO/IEC 27001 を実装する、またはその逆。
- b) ISO/IEC 27001 と ISO/IEC 20000-1 の両方を一緒に実装する。また
- c) ISO/IEC 27001 および ISO/IEC 20000-1 に基づく既存の管理システムを統合する。
このドキュメントは、ISO/IEC 27001 で指定されている情報セキュリティ管理システム (ISMS) と ISO/IEC 20000-1 で指定されているサービス管理システム (SMS) の統合実装にのみ焦点を当てています。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、テキスト内で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 20000-1:2018, 情報技術 - サービス管理 - 1: サービス管理システム要件
- ISO/IEC 27000:2018, 情報技術 — セキュリティ技術 — 情報セキュリティ管理システム — 概要と語彙
- ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
3 用語と定義
このドキュメントの目的のために、ISO/IEC 27000:2018 および ISO/IEC 20000-1:2018 に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
参考文献
| [1] | ISO 9000:2015, 品質管理システム — 基礎と語彙 |
| [2] | ISO 9001:2015, 品質管理システム — 要件 |
| [3] | ISO 19011: 2011, 1マネジメントシステム監査のガイドライン |
| [4] | ISO 22301, セキュリティと回復力 - 事業継続管理システム - 要件 |
| [5] | ISO 31000, リスク管理 — ガイドライン |
| [6] | ISO 37001:2016, 贈収賄防止管理システム — 使用のためのガイダンスを含む要件 |
| [7] | ISO Guide 73:2009, リスク管理 — 語彙 |
| [8] | ISO/IEC 19770-5:2015, 情報技術 — IT 資産管理 — 5: 概要と語彙 |
| [9] | ISO/IEC 20000-3, 情報技術 - サービスマネジメント - 3: ISO/IEC 20000-1 の適用範囲の定義と適用に関するガイダンス |
| [10] | ISO/IEC 20000-10, 情報技術 - サービスマネジメント - 10: 概念と語彙 |
| [11] | ISO/IEC 27002, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [12] | ISO/IEC 27003, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - ガイダンス |
| [13] | ISO/IEC 27005, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
| [14] | ISO/IEC 27006, 情報技術 — セキュリティ技術 — 情報セキュリティ管理システムの監査と認証を提供する機関の要件 |
| [15] | ISO/IEC 27007, 情報セキュリティ、サイバーセキュリティ、およびプライバシー保護 — 情報セキュリティ管理システム監査のガイドライン |
| [16] | ISO/IEC TS 27008, 情報技術 — セキュリティ技術 — 情報セキュリティ管理の評価のためのガイドライン |
| [17] | ISO/IEC 27010, 情報技術 — セキュリティ技術 — セクター間および組織間通信のための情報セキュリティ管理 |
| [18] | ISO/IEC 27014, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティのガバナンス |
| [19] | ISO/IEC/IEEE 15939:2017, システムおよびソフトウェア工学 - 測定プロセス |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see patents.iec.ch).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This third edition cancels and replaces the second edition (ISO/IEC 27013:2015), which has been technically revised. The main change compared with the previous edition is the alignment with ISO/IEC 20000-1:2018.
A list of all parts in the ISO/IEC 27000 series can be found on the ISO and IEC websites.
Introduction
The relationship between information security management and service management is so close that many organizations already recognize the benefits of adopting the two International Standards for these domains: ISO/IEC 27001 for information security management and ISO/IEC 20000-1 for service management. It is common for an organization to improve the way it operates to achieve conformity with the requirements specified in one International Standard and then make further improvements to achieve conformity with the requirements of another.
There are a number of advantages for an organization in ensuring its management system takes into account both the service lifecycle and the protection of the organization’s information. These benefits can be experienced whether one International Standard is implemented before the other, or ISO/IEC 27001 and ISO/IEC 20000-1 are implemented simultaneously. Management and organizational processes, in particular, can derive benefit from the mutually reinforcing concepts and similarities between these International Standards and their common objectives.
Key benefits of an integrated implementation of information security management and service management include the following:
- a) credibility to internal and external customers, and other interested parties of the organization, of effective and secure services;
- b) lower cost of implementing, maintaining and auditing an integrated management system, where effective and efficient management of both services and information security are part of an organization’s strategy;
- c) reduction in implementation time due to the integrated development of processes supporting both service management and information security management;
- d) better communication, increased reliability and improved operational efficiency through elimination of unnecessary duplication;
- e) a greater understanding by service management and information security personnel of each other’s viewpoints;
- f) an organization certified for ISO/IEC 27001 can more easily fulfil the requirements for information security specified in ISO/IEC 20000-1:2018, 8.7.3, as ISO/IEC 27001 and ISO/IEC 20000-1 are complementary in requirements.
This document is based on ISO/IEC 27001:2013 and ISO/IEC 20000-1:2018.
This document is intended for use by persons who intend to integrate ISO/IEC 27001 and ISO/IEC 20000-1, and who are familiar with both, either or neither of those International Standards.
This document does not reproduce content of ISO/IEC 27001 or ISO/IEC 20000-1. Equally, it does not describe all parts of each International Standard comprehensively. Only those parts where subject matter overlaps or differs are described in detail. It is assumed that users of this document have access to ISO/IEC 20000-1 and ISO/IEC 27001.
NOTE Specific legislations can exist, which can impact the planning of an organization’s management system.
1 Scope
This document gives guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 for organizations intending to:
- a) implement ISO/IEC 27001 when ISO/IEC 20000-1 is already implemented, or vice versa;
- b) implement both ISO/IEC 27001 and ISO/IEC 20000-1 together; or
- c) integrate existing management systems based on ISO/IEC 27001 and ISO/IEC 20000-1.
This document focuses exclusively on the integrated implementation of an information security management system (ISMS) as specified in ISO/IEC 27001 and a service management system (SMS) as specified in ISO/IEC 20000-1.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 20000-1:2018, Information technology — Service management — 1: Service management system requirements
- ISO/IEC 27000:2018, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000:2018 and ISO/IEC 20000-1:2018 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
Bibliography
| [1] | ISO 9000:2015, Quality management systems — Fundamentals and vocabulary |
| [2] | ISO 9001:2015, Quality management systems — Requirements |
| [3] | ISO 19011:2011, 1Guidelines for auditing management systems |
| [4] | ISO 22301, Security and resilience — Business continuity management systems — Requirements |
| [5] | ISO 31000, Risk management — Guidelines |
| [6] | ISO 37001:2016, Anti-bribery management systems — Requirements with guidance for use |
| [7] | ISO Guide 73:2009, Risk management — Vocabulary |
| [8] | ISO/IEC 19770-5:2015, Information technology — IT asset management — 5: Overview and vocabulary |
| [9] | ISO/IEC 20000-3, Information technology — Service management — 3: Guidance on scope definition and applicability of ISO/IEC 20000-1 |
| [10] | ISO/IEC 20000-10, Information technology — Service management — 10: Concepts and vocabulary |
| [11] | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls |
| [12] | ISO/IEC 27003, Information technology — Security techniques — Information security management systems — Guidance |
| [13] | ISO/IEC 27005, Information technology — Security techniques — Information security risk management |
| [14] | ISO/IEC 27006, Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems |
| [15] | ISO/IEC 27007, Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing |
| [16] | ISO/IEC/TS 27008, Information technology — Security techniques — Guidelines for the assessment of information security controls |
| [17] | ISO/IEC 27010, Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications |
| [18] | ISO/IEC 27014, Information security, cybersecurity and privacy protection — Governance of information security |
| [19] | ISO/IEC/IEEE 15939:2017, Systems and software engineering — Measurement process |