この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の作成に使用された手順と、今後の維持を意図した手順は、ISO/IEC 指令で説明されています。 1. 特に、さまざまなタイプの ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令の編集規則に従って作成されました。 2 ( www.iso.org/directives を参照)
このドキュメントの要素の一部が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質に関する説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、次を参照してください。次の URL: www.iso.org/iso/foreword.html
このドキュメントは、合同技術委員会 ISO/IEC JTC 1, 情報技術、小委員会 SC 27, IT セキュリティ技術によって作成されました。
序章
インターネットやその他のネットワークのセキュリティは、ますます懸念の対象となっています。世界中の政府機関と産業界の両方の組織が、要件またはガイダンスとして実装できるベースラインのサイバーセキュリティ対策など、サイバーセキュリティ リスクに対処および管理する方法を模索しています。既存のベスト プラクティスを利用してサイバー リスク管理へのアプローチを開発することの実証されたセキュリティと経済的価値により、組織は既存のアプローチの使用方法と改善方法を評価するようになりました。
リスク管理の観点とその結果としてのアプローチは、使用される用語 (「サイバーセキュリティ」と「情報セキュリティ」など) の影響を受けます。同様のリスクに対処する場合、この異なる視点は、外部の脅威と組織の目的のために情報を使用する必要性に焦点を当てた「サイバーセキュリティ」アプローチにつながる可能性があります。対照的に、「情報セキュリティ」アプローチは、内部または外部のソースからのすべてのリスクを考慮します。また、サイバーセキュリティのリスクは主に敵対的な脅威に関連しており、「サイバーセキュリティ」の欠如は「情報セキュリティ」の欠如よりも悪い結果を組織にもたらす可能性があるという認識もある.したがって、サイバーセキュリティは、情報セキュリティよりも組織にとって関連性が高いと見なすことができます。この認識は混乱を招く可能性があり、リスク評価と治療の有効性も低下させます。
認識に関係なく、情報セキュリティの背後にある概念を使用して、サイバーセキュリティ リスクを評価および管理できます。重要な問題は、サイバーセキュリティ リスクを包括的かつ構造化された方法で管理し、プロセス、ガバナンス、およびコントロールが存在し、目的に適合していることを確認する方法です。これは、管理システムのアプローチを通じて行うことができます。 ISO/IEC 27001 で説明されている情報セキュリティ管理システム (ISMS) は、あらゆる組織がサイバーセキュリティへのリスクベースのアプローチを実装するための十分に実証された方法です。
このドキュメントでは、サイバーセキュリティ フレームワークが現在の情報セキュリティ標準を利用して、サイバーセキュリティ管理への十分に制御されたアプローチを実現する方法を示します。
1 スコープ
このドキュメントは、サイバーセキュリティ フレームワークで既存の標準を活用する方法に関するガイダンスを提供します。
2 参考文献
このドキュメントには規範的な参照はありません。
3 用語と定義
このドキュメントでは、次の用語と定義が適用されます。
ISO と IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
情報セキュリティー
情報の機密性、完全性、可用性の維持
[出典: ISO/IEC 27000:2016 2.33]
参考文献
| [1] | ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [2] | ISO/IEC 27002:2013, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [3] | ISO/IEC 27019:2017, 情報技術 — セキュリティ技術 — 情報セキュリティ管理システム — エネルギー ユーティリティ業界に固有のプロセス制御システムに関する ISO/IEC 27002 に基づく情報セキュリティ管理ガイドライン |
| [4] | ISO/IEC 27032, 情報技術 — セキュリティ技術 — サイバーセキュリティのガイドライン |
| [5] | ISO/IEC 27036, 情報技術 — セキュリティ技術 — サプライヤー関係のための情報セキュリティ |
| [6] | ISO/IEC 20243:2015, 情報技術 — Open Trusted Technology ProviderTM 標準 (O-TTPS) — 悪意を持って汚染された製品や偽造製品の軽減 |
| [7] | IEC 62443-2-1:2010, 産業用通信ネットワーク - ネットワークおよびシステム セキュリティ — 2-1: 産業用自動化および制御システムのセキュリティ プログラムの確立および確立 |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, 1. In particular the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL: www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, IT Security techniques.
Introduction
Security on the Internet and other networks is a subject of growing concern. Organizations around the world, in both government and industry sectors, are seeking ways to address and manage cybersecurity risks, including via baseline cybersecurity measures that can be implemented as requirements or guidance. The demonstrated security and economic value of utilising existing best practices to develop approaches to cyber risk management has led organizations to assess how to use and improve upon existing approaches.
Perspectives, and consequent approaches, to risk management are affected by the terminology used, e.g. “cybersecurity” versus “information security”. Where similar risks are addressed, this different perspective can result in “cybersecurity” approaches focusing on external threats and the need to use information for organizational purposes, while, in contrast, ”information security” approaches consider all risks whether from internal or external sources. There can also be a perception that cybersecurity risks are primarily related to antagonistic threats, and that a lack of “cybersecurity” can create worse consequences to the organization than a lack of “information security”. Thus, cybersecurity can be perceived as more relevant to the organization than information security. This perception can cause confusion and also reduces the effectiveness of risk assessment and treatment.
Regardless of perception, the concepts behind information security can be used to assess and manage cybersecurity risks. The key question is how to manage cybersecurity risk in a comprehensive and structured manner, and ensure that processes, governance and controls exist and are fit for purpose. This can be done through a management systems approach. An Information Security Management System (ISMS) as described in ISO/IEC 27001 is a well proven way for any organization to implement a risk-based approach to cybersecurity.
This document demonstrates how a cybersecurity framework can utilize current information security standards to achieve a well-controlled approach to cybersecurity management.
1 Scope
This document provides guidance on how to leverage existing standards in a cybersecurity framework.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
information security
preservation of confidentiality, integrity and availability of information
[SOURCE: ISO/IEC 27000:2016 2.33]
Bibliography
| [1] | ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements |
| [2] | ISO/IEC 27002:2013, Information technology — Security techniques — Code of practice for information security controls |
| [3] | ISO/IEC 27019:2017, Information technology — Security techniques — Information security management systems — Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry |
| [4] | ISO/IEC 27032, Information technology — Security techniques — Guidelines for cybersecurity |
| [5] | ISO/IEC 27036, Information technology — Security techniques — Information security for supplier relationships |
| [6] | ISO/IEC 20243:2015, Information Technology — Open Trusted Technology ProviderTM Standard (O-TTPS) — Mitigating maliciously tainted and counterfeit products |
| [7] | IEC 62443-2-1:2010, Industrial communication networks-Network and system security — 2-1: Establishing and industrial automation and control system security program |