この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の作成に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令のPart 1 で説明されています。特に、さまざまな種類の文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令、 Part 2 の編集規則に従って作成されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト ( https://patents.iec.ch )
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html . IEC については、 www.iec.ch/understanding-standards を参照してください。
この文書は、技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
この第 2 版は、技術的に改訂された第 1 版 (ISO/IEC 27035-2:2016) を取り消して置き換えるものです。
主な変更点は次のとおりです。
- タイトルが変更されました。
- インシデント管理チームとインシデント コーディネーターを含む新しい役割とその責任が追加されました。
- 脆弱性管理に関連するコンテンツが変更されました。
- 組織に推奨されるプロセスに関するコンテンツが 6.7 で追加されました。
- 第 7 条の構造が再編成されました。
- C.3 は単一の段落に置き換えられました。
- 参考文献を更新しました。
ISO/IEC 27035 シリーズのすべての部品のリストは、ISO および IEC の Web サイトにあります。
序章
このドキュメントは、ISO/IEC 27000 で情報セキュリティ管理システムの重要な成功要因の 1 つとして特定されている情報セキュリティ インシデント管理に焦点を当てています。
インシデントに対する組織の計画と組織のインシデントに対する準備との間に大きなギャップが生じる可能性があります。したがって、このドキュメントでは、組織が情報セキュリティ インシデントに対応するための実際の準備ができているという信頼を高めるための手順の開発について説明します。これは、インシデント管理に関連するポリシーと計画に対処すること、およびインシデント対応チームを設立し、学んだ教訓を採用して評価することにより、時間の経過とともにそのパフォーマンスを改善するプロセスに対処することによって達成されます。
1 スコープ
このドキュメントは、インシデント対応を計画および準備し、インシデント対応から教訓を学ぶためのガイドラインを提供します。このガイドラインは、ISO/IEC 27035-1:2023, 5.2 および 5.6 で示されている情報セキュリティ インシデント管理フェーズ モデルの「計画と準備」フェーズと「教訓の学習」フェーズに基づいています。
「計画と準備」フェーズの主なポイントは次のとおりです。
- 情報セキュリティ インシデント管理ポリシーとトップ マネジメントのコミットメント。
- 組織レベルとシステム、サービス、およびネットワークレベルの両方で更新された、リスク管理に関連するものを含む情報セキュリティポリシー。
- 情報セキュリティインシデント管理計画;
- インシデント管理チーム (IMT) の設立。
- 内外の組織との関係とつながりを確立する。
- 技術的およびその他のサポート (組織的および運用上のサポートを含む);
- 情報セキュリティ インシデント管理の意識向上のためのブリーフィングとトレーニング。
「教訓を学ぶ」段階には以下が含まれます。
- 改善すべき領域を特定する。
- 必要な改善を特定し、実行する。
- インシデント対応チーム (IRT) の評価。
このドキュメントに記載されているガイダンスは一般的なものであり、種類、規模、または性質に関係なく、すべての組織に適用できることを意図しています。組織は、情報セキュリティ リスクの状況に関連するビジネスの種類、規模、および性質に応じて、このドキュメントに記載されているガイダンスを調整できます。このドキュメントは、情報セキュリティ インシデント管理サービスを提供する外部組織にも適用されます。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
- ISO/IEC 27035-1:2023, 情報技術 — 情報セキュリティ インシデント管理 — Part 1: 原則とプロセス
3 用語、定義および略語
3.1 用語と定義
このドキュメントの目的のために、ISO/IEC 27000 および ISO/IEC 27035-1 に記載されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.2 略語
| 証明書 | コンピューター緊急対応チーム |
| CSIRT | コンピュータ セキュリティ インシデント対応チーム |
| IMT | インシデント管理チーム |
| IRT | インシデント対応チーム |
| PoC | 接点 |
参考文献
| 1 | ISO/IEC 27001:2022, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| 2 | ISO 22301, セキュリティと回復力 - 事業継続管理システム - 要件 |
| 3 | ISO 22313, セキュリティと回復力 — 事業継続管理システム — ISO 22301 の使用に関するガイダンス |
| 4 | ISO/IEC 27002:2022, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| 5 | ISO/IEC 27005:2022, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
| 6 | ISO/IEC 27010:2015, 情報技術 — セキュリティ技術 — セクター間および組織間通信のための情報セキュリティ管理 |
| 7 | ISO/IEC 27031, 情報技術 — セキュリティ技術 — 事業継続のための情報通信技術の準備に関するガイドライン |
| 8 | ISO/IEC 27033‑1, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — Part 1: 概要と概念 |
| 9 | ISO/IEC 27033‑2, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — Part 2: ネットワーク セキュリティの設計と実装のガイドライン |
| 10 | ISO/IEC 27033‑3, 情報技術 — セキュリティ手法 — ネットワーク セキュリティ — Part 3: 参照ネットワーキング シナリオ — 脅威、設計手法、および制御の問題 |
| 11 | ISO/IEC 27033‑4, 情報技術 — セキュリティ技術 — ネットワーク セキュリティ — Part 4: セキュリティ ゲートウェイを使用したネットワーク間の通信の保護 |
| 12 | ISO/IEC 27039, 情報技術 — セキュリティ技術 — 侵入検知および防止システム (IDPS) の選択、展開、および運用 |
| 13 | ISO/IEC 27040, 情報技術 - セキュリティ技術 - ストレージ セキュリティ |
| 14 | ISO/IEC 30111, 情報技術 — セキュリティ技術 — 脆弱性処理プロセス |
| 15 | ISO 860, 日付と時刻 — 情報交換の表現 |
| 16 | 米国電気電子技術者協会 (IEEE) 802.3, イーサネットの IEEE 規格、 |
| 17 | インターネットエンジニアリングタスクフォース(IETF)サイトセキュリティハンドブック。 https://www.ietf.org/rfc/rfc2196.txt?number=2196 |
| 18 | Internet Engineering Task Force (IETF) RFC 5070, The Incident Object Description Exchange Format |
| 19 | Internet Engineering Task Force (IETF) RFC 6545, Real-time Internet Defense (RID) |
| 20 | Internet Engineering Task Force (IETF) RFC 6546, Transport of Real-time Internet Defense (RID) Messages over HTTP/TLS |
| 21 | カーネギー メロン大学のソフトウェア エンジニアリング研究所、「CERT Coordination Centre」、インシデント管理機能のためのミッション リスク診断の概要、https: //resources.sei.cmu.edu/asset_files/technicalnote/2014_004_001_91462.pdf |
| 22 | NIST SP 800-61, コンピューター セキュリティ インシデント処理ガイド (2012) https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see https://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This second edition cancels and replaces the first edition (ISO/IEC 27035-2:2016), which has been technically revised.
The main changes are as follows:
- the title has been modified;
- new roles including incident management team and incident coordinator and their responsibilities have been added;
- content related to vulnerability management has been modified;
- content on a recommended process for organizations has been added in 6.7;
- Clause 7 structure has been reorganized;
- C.3 has been replaced by a single paragraph;
- bibliography has been updated.
A list of all parts in the ISO/IEC 27035 series can be found on the ISO and IEC websites.
Introduction
This document focuses on information security incident management which is identified in ISO/IEC 27000 as one of the critical success factors for the information security management system.
There can be a large gap between an organization’s plan for an incident and an organization's preparedness for an incident. Therefore, this document addresses the development of procedures to increase the confidence of an organization’s actual readiness to respond to an information security incident. This is achieved by addressing the policies and plans associated with incident management, as well as the process for establishing the incident response team and improving its performance over time by adopting lessons learned and by evaluation.
1 Scope
This document provides guidelines to plan and prepare for incident response and to learn lessons from incident response. The guidelines are based on the “plan and prepare” and “learn lessons” phases of the information security incident management phases model presented in ISO/IEC 27035-1:2023, 5.2 and 5.6.
The major points within the “plan and prepare” phase include:
- information security incident management policy and commitment of top management;
- information security policies, including those relating to risk management, updated at both organizational level and system, service and network levels;
- information security incident management plan;
- Incident Management Team (IMT) establishment;
- establishing relationships and connections with internal and external organizations;
- technical and other support (including organizational and operational support);
- information security incident management awareness briefings and training.
The “learn lessons” phase includes:
- identifying areas for improvement;
- identifying and making necessary improvements;
- Incident Response Team (IRT) evaluation.
The guidance given in this document is generic and intended to be applicable to all organizations, regardless of type, size or nature. Organizations can adjust the guidance given in this document according to their type, size and nature of business in relation to the information security risk situation. This document is also applicable to external organizations providing information security incident management services.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27035-1:2023, Information technology — Information security incident management — Part 1: Principles and process
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 and ISO/IEC 27035-1 apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.2 Abbreviated terms
| CERT | computer emergency response team |
| CSIRT | computer security incident response team |
| IMT | Incident Management Team |
| IRT | Incident Response Team |
| PoC | Point of Contact |
Bibliography
| 1 | ISO/IEC 27001:2022, Information technology — Security techniques — Information security management systems — Requirements |
| 2 | ISO 22301, Security and resilience — Business continuity management systems — Requirements |
| 3 | ISO 22313, Security and resilience — Business continuity management systems — Guidance on the use of ISO 22301 |
| 4 | ISO/IEC 27002:2022, Information technology — Security techniques — Code of practice for information security controls |
| 5 | ISO/IEC 27005:2022, Information technology — Security techniques — Information security risk management |
| 6 | ISO/IEC 27010:2015, Information technology — Security techniques — Information security management for inter-sector and inter-organizational communications |
| 7 | ISO/IEC 27031, Information technology — Security techniques — Guidelines for information and communication technology readiness for business continuity |
| 8 | ISO/IEC 27033‑1, Information technology — Security techniques — Network security — Part 1: Overview and concepts |
| 9 | ISO/IEC 27033‑2, Information technology — Security techniques — Network security — Part 2: Guidelines for the design and implementation of network security |
| 10 | ISO/IEC 27033‑3, Information technology — Security techniques — Network security — Part 3: Reference networking scenarios — Threats, design techniques and control issues |
| 11 | ISO/IEC 27033‑4, Information technology — Security techniques — Network security — Part 4: Securing communications between networks using security gateways |
| 12 | ISO/IEC 27039, Information technology — Security techniques — Selection, deployment and operations of intrusion detection and prevention systems (IDPS) |
| 13 | ISO/IEC 27040, Information technology — Security techniques — Storage security |
| 14 | ISO/IEC 30111, Information technology — Security techniques — Vulnerability handling processes |
| 15 | ISO 8601 (all parts), Date and time — Representations for information interchange |
| 16 | Institute of Electrical and Electronics Engineers (IEEE) 802.3, IEEE Standard for Ethernet, |
| 17 | Internet Engineering Task Force (IETF) Site Security Handbook. https://www.ietf.org/rfc/rfc2196.txt?number=2196 |
| 18 | Internet Engineering Task Force (IETF) RFC 5070, The Incident Object Description Exchange Format |
| 19 | Internet Engineering Task Force (IETF) RFC 6545, Real-time Inter-network Defense (RID) |
| 20 | Internet Engineering Task Force (IETF) RFC 6546, Transport of Real-time Inter-network Defense (RID) Messages over HTTP/TLS |
| 21 | SOFTWARE ENGINEERING INSTITUTE AT CARNEGIE MELLON, “CERT Coordination Centre”, An Introduction to the Mission Risk Diagnostic for Incident Management Capabilities, https://resources.sei.cmu.edu/asset_files/technicalnote/2014_004_001_91462.pdf |
| 22 | NIST SP 800‑61, Computer Security Incident Handling Guide (2012) https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf |