ISO/IEC TS 27022:2021 情報技術 — 情報セキュリティマネジメントシステムプロセスに関するガイダンス

この規格プレビューページの目次

序文Foreword
導入Introduction
1 スコープ1 Scope
2 規範的参照2 Normative references
3 用語と定義3 Terms and definitions

※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。

序文

ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。

この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)

この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受領した特許宣言の ISO リスト ( www.iso.org/patents を参照)、または受領した特許宣言の IEC リスト ( 特許を参照) に記載されます。 iec.ch )

本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。

規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html

この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。

導入

情報セキュリティ管理システム (ISMS) は、相互作用するプロセスの集合を含み、それらのプロセスを実行することで運用されます。この文書は、情報セキュリティ管理のためのプロセス参照モデル (PRM) を提供し、ISMS プロセスとそれによって開始される対策/制御を区別します。

PRM は、プロセスの目的と結果の観点から記述されたプロセスの定義と、プロセス間の関係を記述したアーキテクチャで構成されるモデルです。実際のアプリケーションで PRM を使用するには、環境や状況に適した追加の要素が必要になる場合があります。

この文書で規定される PRM は、ISO/IEC 27001 によって暗示される ISMS プロセスについて説明します。PRM は、プロセスの実装および運用ガイドとして使用することを目的としています。

どの組織でも、特定の環境や状況に合わせてプロセスを調整するために、追加の要素を含むプロセスを定義できます。一部のプロセスは、組織の一般的な管理側面をカバーします。これらのプロセスは、組織が ISO/IEC 27001 の要件に対処するのをサポートするために特定されています。

1 スコープ

この文書は、情報セキュリティ管理の領域のプロセス参照モデル (PRM) を定義します。これは、プロセス参照モデルに関して ISO/IEC 33004 で定義された基準を満たしています (付録 A を参照) ISO/IEC 27001 のユーザーを次のようにガイドすることを目的としています。

ISO/IEC 27000:2018, 4.3 に記載されているプロセスアプローチを ISMS に組み込む。
ISMS プロセスの運用の観点から、ISO/IEC 27000 ファミリーの他の規格内で行われるすべての作業と整合していること
ISMS の運用におけるユーザーのサポート – この文書は、ISO/IEC 27003 の要件指向の観点を、運用上のプロセス指向の観点で補完しています。

2 規範的参照

以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。

ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語

3 用語と定義

この文書の目的としては、ISO/IEC 27000 および以下に示されている用語と定義が適用されます。

ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。

3.1

コアプロセス

明白かつ直接的な顧客価値を提供し、管理システムの中核となる能力 (3.1) から導き出されるプロセス

注記 1:この定義は、ISO 9000:2015 および ISO 38500:2015 の定義に依存し、拡張しています。

注記 2:この定義において、「コア・コンピテンシー」とは、マネジメント・システム内に存在し、マネジメント・システムの目的と直接連携し、目的の達成をサポートし、他には存在しない一連のスキルとノウハウとして理解される。組織内の競争レベルで。

3.2

統合管理システム

IMS

情報セキュリティ管理や事業継続管理など、組織のすべてのシステムとプロセスを 1 つの完全なフレームワークに統合し、組織が統一された目標を持って単一のユニットとして機能できるようにする管理システム

3.3

重要な目標指標

目標/目的を達成するための事後的な尺度である指標

3.4

重要業績評価指標

将来的に目標/目的が達成されるかどうかを予測できる事前の指標。

3.5

管理プロセス

組織の統治機関によって設定された戦略目標を達成するための管理システムの目標を定義するプロセス

注記 1:この定義は、ISO 9000:2015 および ISO/IEC 38500:2015 の定義に依存し、それらを拡張します。

3.6

サポートプロセス

直接的な顧客価値を提供することなく、必要なリソースを提供および管理することでコアプロセスをサポートするプロセス

注記 1:この定義は、ISO 9000:2015 および ISO/IEC 38500:2015 の定義に依存し、それらを拡張します。

参考文献

1	ISO 9000:2015, 品質マネジメントシステム - 基礎と用語
2	ISO/IEC 38500:2015, 情報技術 - 組織の IT ガバナンス
3	ISO/IEC TR 24774:2010, システムおよびソフトウェアエンジニアリング — ライフサイクル管理 — プロセス記述のガイドライン
4	ISO/IEC 27000:2018, 情報技術 — セキュリティ技術 — 情報セキュリティ管理システム — 概要と用語
5	ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
6	ISO/IEC 27003:2017, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - ガイダンス
7	ISO/IEC 27035-1:2016, 情報テクノロジー — セキュリティ技術 — 情報セキュリティインシデント管理 — Part 1: インシデント管理の原則
8	ISO/IEC 33003:2015, 情報技術 — プロセス評価 — プロセス測定フレームワークの要件
9	ISO/IEC 33004:2015, 情報技術 — プロセス評価 — プロセス参照、プロセス評価および成熟度モデルの要件
10	Haufe K.、2017) ISMS ガバナンスに対する成熟度ベースのアプローチ。 https://e-archivo.uc3m.es/bitstream/handle/10016/25128/tesis_knut_haufe_2017.pdf?sequence=3 から入手できます。

Foreword

ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.

The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see patents.iec.ch ).

Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html .

This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.

Introduction

An information security management system (ISMS) includes a collection of interacting processes and is operated by performing those processes. This document provides a process reference model (PRM) for information security management, which differentiates between ISMS processes and measures/controls initiated by them.

A PRM is a model comprising definitions of processes described in terms of process purpose and results, together with an architecture describing the relationships between the processes. Using the PRM in a practical application can require additional elements suited to the environment and circumstances.

The PRM specified in this document describes the ISMS processes implied by ISO/IEC 27001. The PRM is intended to be used as a process implementation and operation guide.

Any organization can define processes with additional elements in order to tailor it to its specific environment and circumstances. Some processes cover general management aspects of an organization. These processes have been identified in order to support organizations in addressing the requirements of ISO/IEC 27001.

1 Scope

This document defines a process reference model (PRM) for the domain of information security management, which is meeting the criteria defined in ISO/IEC 33004 for process reference models (see Annex A). It is intended to guide users of ISO/IEC 27001 to:

incorporate the process approach as described by ISO/IEC 27000:2018, 4.3, within the ISMS;
be aligned to all the work done within other standards of the ISO/IEC 27000 family from the perspective of the operation of ISMS processes
support users in the operation of an ISMS – this document is complementing the requirements-oriented perspective of ISO/IEC 27003 with an operational, process-oriented point of view.

2 Normative references

The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.

ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary

3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO/IEC 27000 and the following apply.

ISO and IEC maintain terminological databases for use in standardization at the following addresses:

3.1

core process

process that delivers apparent and direct customer value and is derived from the core competencies (3.1) of the management systems

Note 1 to entry: This definition relies on and extends the definitions in ISO 9000:2015 and ISO 38500:2015.

Note 2 to entry: In this definition,"core competency" is understood as the set of skills and know-how present within a management system, directly aligned with the objectives of the management system, supporting the achievement of the objectives and not elsewhere present within the organization at a competitive level.

3.2

integrated management system

IMS

management system that integrates all of an organization’s systems – like information security management and business continuity management – and processes in to one complete framework, enabling an organization to work as a single unit with unified objectives

3.3

key goal indicator

indicator that is an ex-post measure for the achievement of a goal/objective

3.4

key performance indicator

indicator that is an ex-ante measure, which allow a prediction if a goal/objective is achieved in the future

3.5

management process

process that defines the objectives of the management system to achieve the strategic objectives set by the organization's governing body

Note 1 to entry: This definition relies on and extends the definitions in ISO 9000:2015 and ISO/IEC 38500:2015.

3.6

support process

process that supports core processes by providing and managing necessary resources without delivering direct customer value