この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国機関は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまな種類の文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受け取った特許宣言の ISO リストに記載されます ( www.iso.org/patents を 参照)
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
適合性評価に関連する ISO 固有の用語や表現の意味の説明、および貿易の技術的障壁 (TBT) における WTO 原則への ISO の準拠に関する情報については、次の URL を参照してください。 序文 - 補足情報
この文書を担当する委員会は、ISO/IEC JTC 1, 情報技術、サブ委員会 SC 7, ソフトウェアおよびシステム エンジニアリングです。
導入
この技術仕様の目的は、ISO/IEC TS 33072 に記載されているプロセス評価モデル (PAM) の開発を促進することです。
ISO/IEC 33002 には、評価の実施に関する要件が記載されています。 ISO/IEC 33020 には、プロセス能力のプロセス品質特性を評価するための測定尺度が記載されています。 ISO/IEC 33001 では、プロセス評価に使用される概念と用語が説明されています。
プロセス参照モデル (PRM) は、プロセス間の関係を記述するアーキテクチャとともに、プロセスの目的と結果の観点から記述されたプロセスの定義で構成されるモデルです。実際のアプリケーションで PRM を使用するには、環境や状況に適した追加の要素が必要になる場合があります。
この技術仕様で規定される PRM は、ISO/IEC 27001 によって暗示される情報セキュリティ管理システム (ISMS) プロセスを含むプロセスを説明します。この PRM の各プロセスは、目的と結果の観点から説明され、要件へのトレーサビリティを提供します。 PRM は、プロセスを特定の環境に配置しようとしたり、ISO/IEC 27001 要件を満たすために必要なプロセス能力のレベルを事前に決定したりすることはありません。 PRM は、適合性評価監査やプロセス実装のリファレンス ガイドとして使用することを目的としたものではありません。
ISO/IEC TR 24774, ISO/IEC 27001, ISO/IEC 33002, ISO/IEC 33004, ISO/IEC 33020, ISO/IEC TS 33052, および ISO/IEC TS 33072 の関係を図 1 に示します。
図 1 —関連する規格間の関係
どの組織でも、特定の環境や状況に適合させるために、追加の要素を含むプロセスを定義できます。一部のプロセスは、組織の一般的な管理側面をカバーします。これらのプロセスは、ISO/IEC 27001 の要件をカバーするために特定されています。
PRM は、ISO/IEC 27001 で要求される証拠を提供しません。PRM は、プロセス間のインターフェイスを指定しません。
この技術仕様では、情報セキュリティ管理のための PRM について、第 5 項のプロセスについて説明します。付録 A では、ISO/IEC 33002 に準拠した適合性宣言を提供します。
1 スコープ
この技術仕様は、情報セキュリティ管理の領域のプロセス参照モデル (PRM) を定義します。モデル アーキテクチャはドメインのプロセス アーキテクチャを指定し、一連のプロセスで構成され、それぞれがプロセスの目的と結果の観点から説明されます。
2 規範的参照
以下の文書は、全部または一部がこの文書で規範的に参照されており、その適用には不可欠です。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件
- ISO/IEC 33001, 情報技術 - プロセス評価 - 概念と用語
3 用語と定義
この文書の目的のために、ISO/IEC 27001 および ISO/IEC 33001 で与えられる用語と定義が適用されます。
参考文献
| 1 | ISO 9000:2015, 品質マネジメントシステム - 基礎と用語 |
| 2 | ISO 9001:2015, 品質マネジメントシステム — 要件 |
| 3 | ISO/IEC TR 24774:2010, システムおよびソフトウェアエンジニアリング — ライフサイクル管理 — プロセス記述のガイドライン |
| 4 | ISO/IEC 33002:2015, 情報技術 — プロセス評価 — プロセス評価を実行するための要件 |
| 5 | ISO/IEC 33020:2015, 情報技術 — プロセス評価 — プロセス能力を評価するためのプロセス測定フレームワーク |
| 6 | ISO/IEC 33004:2015, 情報技術 — プロセス評価 — プロセス参照、プロセス評価および成熟度モデルの要件 |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/IEC JTC 1, Information technology, Subcommittee SC 7, Software and systems engineering.
Introduction
The purpose of this Technical Specification is to facilitate the development of a process assessment model (PAM) described in ISO/IEC TS 33072.
ISO/IEC 33002 describes the requirements for the conduct of an assessment. ISO/IEC 33020 describes the measurement scale for assessing the process quality characteristic of process capability. ISO/IEC 33001 describes the concepts and terminology used for process assessment.
A process reference model (PRM) is a model comprising definitions of processes described in terms of process purpose and outcomes, together with an architecture describing the relationships between the processes. Using the PRM in a practical application may require additional elements suited to the environment and circumstances.
The PRM specified in this Technical Specification describes the processes including the information security management system (ISMS) processes implied by ISO/IEC 27001. Each process of this PRM is described in terms of a purpose and outcomes and provides traceability to requirements. The PRM does not attempt to place the processes in any specific environment nor does it pre-determine any level of process capability required to fulfil the ISO/IEC 27001 requirements. The PRM is not intended to be used for a conformity assessment audit or as a process implementation reference guide.
The relationships between ISO/IEC TR 24774, ISO/IEC 27001, ISO/IEC 33002, ISO/IEC 33004, ISO/IEC 33020, ISO/IEC TS 33052 and ISO/IEC TS 33072 are shown in Figure 1.
Figure 1 — Relationships between relevant standards
Any organization may define processes with additional elements in order to suit it to its specific environment and circumstances. Some processes cover general management aspects of an organization. These processes have been identified in order to give coverage to the requirements of ISO/IEC 27001.
The PRM does not provide the evidence required by ISO/IEC 27001. The PRM does not specify the interfaces between the processes.
This Technical Specification describes a PRM for information security management with descriptions of processes in Clause 5. Annex A provides the statement of conformity in accordance with ISO/IEC 33002.
1 Scope
This Technical Specification defines a process reference model (PRM) for the domain of information security management. The model architecture specifies a process architecture for the domain and comprises a set of processes, with each described in terms of process purpose and outcomes.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements
- ISO/IEC 33001, Information technology — Process assessment — Concepts and terminology
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27001 and ISO/IEC 33001 apply.
Bibliography
| 1 | ISO 9000:2015, Quality management systems — Fundamentals and vocabulary |
| 2 | ISO 9001:2015, Quality management systems — Requirements |
| 3 | ISO/IEC TR 24774:2010, Systems and software engineering — Life cycle management — Guidelines for process description |
| 4 | ISO/IEC 33002:2015, Information technology — Process assessment — Requirements for performing process assessment |
| 5 | ISO/IEC 33020:2015, Information technology — Process assessment — Process measurement framework for assessment of process capability |
| 6 | ISO/IEC 33004:2015, Information technology — Process assessment — Requirements for process reference, process assessment and maturity models |