この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受信した特許宣言の ISO リスト ( www.iso.org/patents を参照) または受信した特許宣言の IEC リスト ( http://patents.iec.ch )
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html .
この文書は、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
序章
サイバーインシデントはいつでも発生する可能性があり、組織にさまざまな影響を与える可能性があります。たとえば、組織の情報と資産は、サイバー脅威がより浸透し、永続的かつ巧妙化するにつれて、絶え間ない攻撃にさらされています。
組織は、効果的なリスク対応アプローチの一環として、情報セキュリティ管理に加えて、サイバーインシデントから生じる結果の影響を軽減するためのサイバー保険の採用を検討する必要があります。
サイバー保険は、すべての従業員の厳格なトレーニングに加えて、堅牢なセキュリティと効果的なインシデント対応計画に代わるものではありません.
サイバー保険は、レジリエンスを高めるための組織の全体的なセキュリティ リスク対応計画の重要な要素と見なす必要があります。
1 スコープ
このドキュメントは、組織の情報セキュリティ リスク管理フレームワーク内でサイバー インシデントの影響を管理するためのリスク対応オプションとして、サイバー保険の購入を検討する際のガイドラインを提供します。
このドキュメントでは、次のガイドラインを示します。
- a)サイバーリスクを共有するためのリスク対応オプションとして、サイバー保険の購入を検討する。
- b)サイバーインシデントの影響を管理するためにサイバー保険を活用する。
- c)サイバー保険契約に関連する引受、監視、請求活動をサポートするために、被保険者と保険会社の間でデータと情報を共有する。
- d)関連するデータおよび情報を保険会社と共有する際に、情報セキュリティ管理システムを活用する。
このドキュメントは、組織によるサイバー保険の計画と購入を支援するために、あらゆる種類、規模、および性質の組織に適用されます。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、本文で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と語彙
3 用語と定義
このドキュメントの目的のために、ISO/IEC 27000 および以下に記載されている用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
サイバー事件
情報セキュリティの損失を伴う、または事業運営に影響を与えるサイバー イベント
3.2
サイバー保険
サイバーインシデント (3.1) によって引き起こされた 被保険者 (3.7) の経済的損失をカバーまたは軽減する保険
3.3
サイバー保険証券
サイバー保険 (3.2) 補償の契約
3.4
サイバーリスク
サイバー脅威によって引き起こされるリスク (3.5)
3.5
サイバー脅威
サイバースペースを悪用する脅威 (3.6)
3.6
サイバースペース
ネットワーク、サービス、システム、およびプロセスの相互接続されたデジタル環境
3.7
被保険者
サイバーリスク(3.4) を保険会社と共有する、または共有することを検討している事業体
参考文献
| [1] | ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [2] | ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [3] | ISO/IEC 27003, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - ガイダンス |
| [4] | ISO/IEC 27004, 情報技術 - セキュリティ技術 - 情報セキュリティ管理 - 監視、測定、分析および評価 |
| [5] | ISO/IEC 27005, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see http://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
Introduction
Cyber-incidents can occur at any time with various potential impacts to an organization. For example, an organization’s information and assets are under constant attack as cyber-threats become more pervasive, persistent and sophisticated.
The adoption of cyber-insurance to reduce the impacts of the consequences arising from a cyber-incident should be considered by an organization in addition to information security controls as part of an effective risk treatment approach.
Cyber-insurance is no substitute for robust security and effective incident response plans, along with rigorous training of all employees.
Cyber-insurance should be considered as an important component of an organization’s overall security risk treatment plan to increase resilience.
1 Scope
This document provides guidelines when considering purchasing cyber-insurance as a risk treatment option to manage the impact of a cyber-incident within the organization’s information security risk management framework.
This document gives guidelines for:
- a) considering the purchase of cyber-insurance as a risk treatment option to share cyber-risks;
- b) leveraging cyber-insurance to assist manage the impact of a cyber-incident;
- c) sharing of data and information between the insured and an insurer to support underwriting, monitoring and claims activities associated with a cyber-insurance policy;
- d) leveraging an information security management system when sharing relevant data and information with an insurer.
This document is applicable to organizations of all types, sizes and nature to assist in the planning and purchase of cyber-insurance by the organization.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27000 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
cyber-incident
cyber-event that involves a loss of information security or impacts business operations
3.2
cyber-insurance
insurance that covers or reduces financial loss to the insured (3.7) caused by a cyber-incident (3.1)
3.3
cyber-insurance policy
contract for cyber-insurance (3.2) coverage
3.4
cyber-risk
risk caused by a cyber-threat (3.5)
3.5
cyber-threat
threat that exploits a cyberspace (3.6)
3.6
cyberspace
interconnected digital environment of networks, services, systems, and processes
3.7
insured
entity that shares or considers sharing cyber-risk (3.4) with an insurer
Bibliography
| [1] | ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements |
| [2] | ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls |
| [3] | ISO/IEC 27003, Information technology — Security techniques — Information security management systems — Guidance |
| [4] | ISO/IEC 27004, Information technology — Security techniques — Information security management — Monitoring, measurement, analysis and evaluation |
| [5] | ISO/IEC 27005, Information technology — Security techniques — Information security risk management |