この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである国家機関は、技術活動の特定の分野を扱うために、それぞれの組織によって設立された技術委員会を通じて、国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。 ISO および IEC と連携して、政府および非政府の他の国際機関もこの作業に参加しています。情報技術の分野では、ISO と IEC が合同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
適合性評価に関連する ISO 固有の用語および表現の意味に関する説明、および技術的貿易障壁 (TBT) における WTO 原則への ISO の準拠に関する情報については、次の URL を参照してください: 序文 — 補足情報 .
この文書を担当する委員会は、ISO/IEC JTC 1, 情報技術、SC 27, IT セキュリティ技術です。
序章
ISO/IEC 27001 と ISO/IEC 27002 の両方の規格は、通常の規格維持プロセスの一環として改訂されており、この改訂プロセスの結果は ISO/IEC 27001:2013 と ISO/IEC 27002:2013 に含まれています。
このテクニカル レポートには、次の表が含まれています。
— 第 4 節、表 1 — ISO/IEC 27001:2013 と ISO/IEC 27001:2005 の比較;
— 第 5 節、表 2 — ISO/IEC 27002:2005 と ISO/IEC 27002:2013 の比較;
— 第 5 節、表 3 — ISO/IEC 27002:2013 と ISO/IEC 27002:2005 の比較。
これらの表を使用して、古い標準の要件または管理がどこに行ったのか、または新しい標準の要件または管理がどこから来たのかを判断できます。関係が記載されている場合、内容が同一であることを意味するものではありません。
このテクニカル レポートは、ISO/IEC 27001 と ISO/IEC 27002 のそれぞれの旧版と新版の間の事実に基づく対応を提供するように設計されているため、意図的に、変更が行われた理由や変更の重要性について説明的なコメントを提供するものではありません。変更このテクニカル レポートのユーザーは、これらの標準の改訂版の特定のアプリケーションと実装に関して、コンテキスト内での変更の重要性を評価する必要があります。
ISO/IEC 27002 の比較は、管理目標、管理、および実装ガイダンスに基づいて行われました。
1 スコープ
このテクニカル レポートの目的は、ISO/IEC 27001 と ISO/IEC 27002 の改訂版の間の対応関係を示すことです。
このテクニカル レポートは、ISO/IEC 27001 および ISO/IEC 27002 の 2005 から 2013 バージョンに移行するすべてのユーザーに役立ちます。
2 参考文献
本書の適用には、以下の参考文献が不可欠です。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000:2014, 情報技術 — セキュリティ技術 — 情報セキュリティ管理システム — 概要と語彙
- ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
- ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準
3 用語と定義
このドキュメントでは、ISO/IEC 27000:2014 に含まれる用語と定義が適用されます。
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT), see the following URL: Foreword — Supplementary information .
The committee responsible for this document is ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques.
Introduction
Both standards, ISO/IEC 27001 and ISO/IEC 27002, have been revised as part of the normal standards maintenance process, and the results of this revision process are contained in ISO/IEC 27001:2013 and ISO/IEC 27002:2013.
This Technical Report contains the following tables:
—Clause 4, Table 1 — Comparison between ISO/IEC 27001:2013 and ISO/IEC 27001:2005;
—Clause 5, Table 2 — Comparison between ISO/IEC 27002:2005 and ISO/IEC 27002:2013;
—Clause 5, Table 3 — Comparison between ISO/IEC 27002:2013 and ISO/IEC 27002:2005.
These tables can be used to determine where requirements or controls in the old standards went, or where requirements or controls in the new standards have come from. Where a relationship is stated, it does not mean that the content is identical.
This Technical Report is designed to provide a factual correspondence between the old and new editions of ISO/IEC 27001 and ISO/IEC 27002 respectively, and so by intention it does not provide any explanatory commentary on why a change has been made or the significance of the change. Users of this Technical Report need to evaluate the significance of the changes in context with regard to their particular application and implementation of the revised editions of these standards.
For ISO/IEC 27002, the comparison was based on control objectives, controls, and implementation guidance.
1 Scope
The purpose of this Technical Report is to show the corresponding relationship between the revised versions of ISO/IEC 27001 and ISO/IEC 27002.
This Technical Report will be useful to all users migrating from the 2005 to the 2013 versions of ISO/IEC 27001 and ISO/IEC 27002.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000:2014, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements
- ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls
3 Terms and definitions
For the purposes of this document, the terms and definitions contained in ISO/IEC 27000:2014 apply.