ISO27001とは?ISMSとの違いや要求事項の詳細について解説
目次[非表示]
ISO/IEC 27001 とは
ISO/IEC 27001 とは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって共同で開発された情報セキュリティマネジメントシステム(Information Security Management System, ISMS)に関する国際標準規格の一つです。
ISO/IEC 27001 は、ISMSを運用管理するための要求事項をまとめたものです。規格の本文には、「ISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供するために作成された」と書かれています。
JIS Q 27001 という言い方もされますが、これはISO/IEC 27001を基に翻訳し、技術的内容や構成を変更しないよう日本工業規格として規格化したものであり、別の規格ではありますがその内容はほとんど変わりません。国際規格がISO/IEC 27001、国内規格がJIS Q 27001と覚えておけば良いでしょう。
なお、ISO/IEC 27001:2022などと表記されることがありますが、これは2022年版のISO/IEC 27001規格という意味です。ISO/IEC 27001は2005年に制定された後、2013年と2022年に改訂されており、最新の規格はISO/IEC 27001:2022となっています。改訂によってその内容や構成も変わるため、注意が必要です。
ISO27001とISMSの違い
情報セキュリティマネジメントシステム(ISMS)は、組織として情報セキュリティを確保するためのリスクマネジメントプロセスを適切に運用、改善するための仕組みです。ISMSという仕組みを構築するために行わなければいけない事項をまとめたものがISO/IEC 27001です。
また、ISMSには認証制度があり、ISMS認証と呼ばれています。第三者であるISMS認証機関が組織のISMSをISO/IEC 27001に基づいて審査し、ISMSが適切に運用・管理されていることが認定されると、ISMS認証が取得できます。
ISO27001の構成
ISO/IEC 27001 では大きく、本文と附属書Aに構成が分かれます。本文ではISMS構築に必要な要求事項が記載され、附属書Aでは本文を踏まえた具体的なセキュリティ対策(管理策)が記載されます。
なお、実際の本文は日本規格協会グループのウェブサイトで入手可能です。
ISO27001の要求事項(本文の内容)
ISO/IEC 27001 の本文では、1章から10章までで以下のような要求事項が規定されています。これらの項目は他のマネジメントシステム規格(ISO 9000等)と合わせた汎用的なものになっています。
1章 適用範囲
この章は、この規格自体が情報セキュリティマネジメントシステム(ISMS)構築のための要求事項であることを規定します。また、この要求事項が汎用的なものであり、どのような形態・規模の組織にも適用できることを宣言しています。
2章 引用規格
この章は、ISO/IEC 27001に参照されている他の規格や文書を示します。用語や定義はISO/IEC 27000の最新版から引用されることを示しています。
3章 用語及び定義
この章では、ISO/IEC 27001で使用される用語とその定義を提供します。
4章 組織の状況
この章では、ISMSの適用範囲を規定します。組織は、組織の状況や利害関係者のニーズを理解し、組織におけるISMSの適用範囲を決定した上で、要求事項に従ってISMSを確立し、実施し、維持し、継続的に改善することを宣言する必要があります。
5章 リーダーシップ
この章では、組織のトップマネジメントに対し、ISMSに関するリーダーシップとコミットメントを要求します。トップマネジメントは情報セキュリティ方針を確立し、それを組織内に伝達することで、ISMSの重要性を組織に示し、ISMSが有効に機能するように組織を指揮し支援しなければなりません。
6章 計画
この章では、情報セキュリティ上のリスクに対処するための計画について要求します。組織は、情報セキュリティリスクアセスメントのプロセスを定め、リスクを分析する必要があるほか、それらのリスクに対応する管理策を検討し、対応計画を策定する必要があります。リスク対応のための管理策は、附属書Aの管理策と比較し、必要な管理策の見落としがないかを検証しなければなりません。
7章 支援
この章では、ISMSの実施に必要な資源について要求します。組織は、組織の力量に応じてISMSの維持・改善に必要な教育を実施する必要があります。また、ISMSに関するコミュニケーションのプロセスを定め、ISMSの規格が要求する文書を作成し、管理しなければなりません。
8章 運用
この章では、ISMSの運用を要求します。計画の章で定めたリスクアセスメントやリスク対応計画を実施し、その結果を文書化しなければなりません。
9章 パフォーマンス評価
この章では、ISMSのパフォーマンス評価を要求します。組織は、情報セキュリティのパフォーマンスとISMSの有効性を評価しなければならず、内部監査プログラムを計画し、実施しなければなりません。また、トップマネジメントはISMSについてマネジメントレビューを行い、必要な是正処置を報告し、継続的な改善を実施するための決定を行わなければなりません。
10章 改善
この章では、ISMSの継続的な改善を要求します。ISMSにおいて不適合が発生した場合、それを修正するための是正措置を検討し実施することで、ISMSの適切性、妥当性および有効性を継続的に改善しなければなりません。
ISO27001の管理策(附属書Aの内容)
ISO/IEC 27001 では、情報セキュリティリスクを管理するための具体的な管理策が4つの分類(組織的、人的、物理的、技術的)に分けて定められています。なお、これらの管理策は、ISO/IEC 27002 という別の規格で詳細に説明されています。
組織的管理策
情報セキュリティ方針の策定(5.1情報セキュリティのための方針群 等)、情報に対する適切なアクセス管理(5.15アクセス制御 等)、委託先やクラウドサービスの管理(5.19供給者関係における情報セキュリティ 等)、情報セキュリティインシデント対応(5.24情報セキュリティインシデント管理の計画及び準備 等)、事業継続計画の策定(5.29事業の中断・阻害時の情報セキュリティ)、法令遵守(5.34プライバシー及びPIIの保護 等)などについて定められています。
人的管理策
雇用前の候補者に対する情報セキュリティの考慮(6.1選考 等)、セキュリティ教育の実施(6.3情報セキュリティの意識向上、教育及び訓練)、雇用中や雇用終了後の義務(6.6秘密保持契約又は守秘義務契約 等)、リモートワークを考慮した情報セキュリティ(6.7リモートワーク)などについて定められています。
物理的管理策
オフィス環境のセキュリティ(7.3オフィス、部屋及び施設のセキュリティ 等)、管理する装置や記録媒体のセキュリティ(7.13装置の保守 等)などについて定められています。
技術的管理策
アクセス制御のための技術(8.5セキュリティを保った認証 等)、脆弱性管理(8.7マルウェアに対する保護 等)、システム運用管理(8.13データのバックアップ 等)、ネットワークセキュリティ(8.22ネットワークの分離 等)、システム開発・保守(8.25セキュリティに配慮した開発のライフサイクル 等)などについて定められています。
ISO27001:2013とISO27001:2022の改訂内容
ISO27001は、最新の情報セキュリティの動向に対応するために、定期的に改訂されます。直近では2022年に改訂されており、主には附属書Aの管理策について、構成が変更され新たな管理策が追加されています。
附属書Aの管理策は、2013年版では14カテゴリ114項目の管理策で構成されていましたが、2022年版では4カテゴリ93項目となりました。項目こそ減ったもの、管理策が一部統合されたのみであり、廃止された項目は実質ありません。
新しい4カテゴリは以下の4つです。
- 組織的な管理策(37項目)
- 人的な管理策(8項目)
- 物理的な管理策(14項目)
- 技術的な管理策(34項目)
新たに追加された管理策は以下の11項目です。
- 5.7 脅威インテリジェンス
- 5.23 クラウドサービスの利用における情報セキュリティ
- 5.30 ビジネス継続のためのICTの備え
- 7.4 物理的セキュリティの監視
- 8.9 構成管理
- 8.10 情報の削除
- 8.11 データマスキング
- 8.12 データ漏えい防止
- 8.16 監視活動
- 8.23 ウェブフィルタリング
- 8.28 セキュアコーディング
ISMSに関連するその他のISOファミリー
ISMSに関連するISO/IEC規格には他にも以下のようなものがあります。
ISO/IEC 27000: 情報セキュリティマネジメントシステム(ISMS)の基本用語と定義を提供する規格です。ISO/IEC 27000は、情報セキュリティに関連する一般的な用語やコンセプトの統一的な理解を促進するために使用されます。
ISO/IEC 27002: 情報セキュリティの実施に関するガイドラインを提供する規格です。ISO/IEC 27002は、情報セキュリティのベストプラクティスやコントロールの選択・実装に関する具体的な指針を提供します。この規格は、組織が情報セキュリティリスクに対処するための実践的な手法を採用する際に役立ちます。
ISO/IEC 27017: クラウドコンピューティングにおける情報セキュリティのためのガイドラインを提供する規格です。ISO/IEC 27017は、クラウドサービスプロバイダーとクラウドサービスの利用者が情報セキュリティを確保するためのガイドとして役立ちます。
ISO/IEC 31000: リスクマネジメントの原則とガイドラインを提供する規格です。ISO/IEC 31000は、組織がリスクを特定し、評価し、管理するための一般的なフレームワークを提供します。情報セキュリティリスク管理においても、ISO/IEC 31000の原則と手法は適用できます。
(編集:Assured編集部)