• Home
  • 全ての記事
  • ISO27001とは?ISMSとの違いや要求事項の詳細について解説します
catch-img

ISO27001とは?ISMSとの違いや要求事項の詳細について解説します

早崎 敏寛

用語解説セキュリティ認証


目次[非表示]

  1. 1.ISO/IEC 27001 とは
  2. 2.ISO27001とISMSの違い
  3. 3.ISO27001の構成
    1. 3.1.ISO27001の要求事項(本文の内容)
    2. 3.2.ISO27001の管理策(附属書Aの内容)
  4. 4.ISO27001:2013とISO27001:2022の改訂内容

ISO/IEC 27001 とは

ISO/IEC 27001 とは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって共同で開発された情報セキュリティマネジメントシステム(Information Security Management System, ISMS)に関する国際標準規格の一つです。

ISO/IEC 27001 は、ISMSを運用管理するための要求事項をまとめたものです。規格の本文には、「ISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供するために作成された」と書かれています。

JIS Q 27001 という言い方もされますが、これはISO/IEC 27001を基に翻訳し、技術的内容や構成を変更しないよう日本工業規格として規格化したものであり、別の規格ではありますがその内容はほとんど変わりません。国際規格がISO/IEC 27001、国内規格がJIS Q 27001と覚えておけば良いでしょう。

なお、ISO/IEC 27001:2022などと表記されることがありますが、これは2022年版のISO/IEC 27001規格という意味です。ISO/IEC 27001は2005年に制定された後、2013年と2022年に改訂されており、最新の規格はISO/IEC 27001:2022となっています。改訂によってその内容や構成も変わるため、注意が必要です。

ISO27001とISMSの違い

情報セキュリティマネジメントシステム(ISMS)は、組織として情報セキュリティを確保するためのリスクマネジメントプロセスを適切に運用、改善するための仕組みです。ISMSという仕組みを構築するために行わなければいけない事項をまとめたものがISO/IEC 27001です。

また、ISMSには認証制度があり、ISMS認証と呼ばれています。第三者であるISMS認証機関が組織のISMSをISO/IEC 27001に基づいて審査し、ISMSが適切に運用・管理されていることが認定されると、ISMS認証が取得できます。

ISO27001の構成

ISO/IEC 27001 では大きく、本文と附属書Aに構成が分かれます。本文ではISMS構築に必要な要求事項が記載され、附属書Aでは本文を踏まえた具体的なセキュリティ対策(管理策)が記載されます。

なお、実際の本文は日本規格協会グループのウェブサイトで入手可能です。

ISO27001の要求事項(本文の内容)

ISO/IEC 27001 の本文では、1章から10章までで以下のような要求事項が規定されています。これらの項目は他のマネジメントシステム規格(ISO 9000等)と合わせた汎用的なものになっています。

1章 適用範囲
この章は、この規格自体が情報セキュリティマネジメントシステム(ISMS)構築のための要求事項であることを規定します。また、この要求事項が汎用的なものであり、どのような形態・規模の組織にも適用できることを宣言しています。

2章 引用規格
この章は、ISO/IEC 27001に参照されている他の規格や文書を示します。用語や定義はISO/IEC 27000の最新版から引用されることを示しています。

3章 用語及び定義
この章では、ISO/IEC 27001で使用される用語とその定義を提供します。

4章 組織の状況
この章では、ISMSの適用範囲を規定します。組織は、組織の状況や利害関係者のニーズを理解し、組織におけるISMSの適用範囲を決定した上で、要求事項に従ってISMSを確立し、実施し、維持し、継続的に改善することを宣言する必要があります。

5章 リーダーシップ
この章では、組織のトップマネジメントに対し、ISMSに関するリーダーシップとコミットメントを要求します。トップマネジメントは情報セキュリティ方針を確立し、それを組織内に伝達することで、ISMSの重要性を組織に示し、ISMSが有効に機能するように組織を指揮し支援しなければなりません。

6章 計画
この章では、情報セキュリティ上のリスクに対処するための計画について要求します。組織は、情報セキュリティリスクアセスメントのプロセスを定め、リスクを分析する必要があるほか、それらのリスクに対応する管理策を検討し、対応計画を策定する必要があります。リスク対応のための管理策は、附属書Aの管理策と比較し、必要な管理策の見落としがないかを検証しなければなりません。

7章 支援
この章では、ISMSの実施に必要な資源について要求します。組織は、組織の力量に応じてISMSの維持・改善に必要な教育を実施する必要があります。また、ISMSに関するコミュニケーションのプロセスを定め、ISMSの規格が要求する文書を作成し、管理しなければなりません。

8章 運用
この章では、ISMSの運用を要求します。計画の章で定めたリスクアセスメントやリスク対応計画を実施し、その結果を文書化しなければなりません。

9章 パフォーマンス評価
この章では、ISMSのパフォーマンス評価を要求します。組織は、情報セキュリティのパフォーマンスとISMSの有効性を評価しなければならず、内部監査プログラムを計画し、実施しなければなりません。また、トップマネジメントはISMSについてマネジメントレビューを行い、必要な是正処置を報告し、継続的な改善を実施するための決定を行わなければなりません。

10章 改善
この章では、ISMSの継続的な改善を要求します。ISMSにおいて不適合が発生した場合、それを修正するための是正措置を検討し実施することで、ISMSの適切性、妥当性および有効性を継続的に改善しなければなりません。

ISO27001の管理策(附属書Aの内容)

ISO/IEC 27001 では、情報セキュリティリスクを管理するための具体的な管理策が4つの分類(組織的、人的、物理的、技術的)に分けて定められています。なお、これらの管理策は、ISO/IEC 27002 という別の規格で詳細に説明されています。

組織的管理策
情報セキュリティ方針の策定(5.1情報セキュリティのための方針群 等)、情報に対する適切なアクセス管理(5.15アクセス制御 等)、委託先やクラウドサービスの管理(5.19供給者関係における情報セキュリティ 等)、情報セキュリティインシデント対応(5.24情報セキュリティインシデント管理の計画及び準備 等)、事業継続計画の策定(5.29事業の中断・阻害時の情報セキュリティ)、法令遵守(5.34プライバシー及びPIIの保護 等)などについて定められています。

人的管理策
雇用前の候補者に対する情報セキュリティの考慮(6.1選考 等)、セキュリティ教育の実施(6.3情報セキュリティの意識向上、教育及び訓練)、雇用中や雇用終了後の義務(6.6秘密保持契約又は守秘義務契約 等)、リモートワークを考慮した情報セキュリティ(6.7リモートワーク)などについて定められています。

物理的管理策
オフィス環境のセキュリティ(7.3オフィス、部屋及び施設のセキュリティ 等)、管理する装置や記録媒体のセキュリティ(7.13装置の保守 等)などについて定められています。

技術的管理策
アクセス制御のための技術(8.5セキュリティを保った認証 等)、脆弱性管理(8.7マルウェアに対する保護 等)、システム運用管理(8.13データのバックアップ 等)、ネットワークセキュリティ(8.22ネットワークの分離 等)、システム開発・保守(8.25セキュリティに配慮した開発のライフサイクル 等)などについて定められています。

ISO27001:2013とISO27001:2022の改訂内容

ISO27001は、最新の情報セキュリティの動向に対応するために、定期的に改訂されます。直近では2022年に改訂されており、主には附属書Aの管理策について、構成が変更され新たな管理策が追加されています。

附属書Aの管理策は、2013年版では14カテゴリ114項目の管理策で構成されていましたが、2022年版では4カテゴリ93項目となりました。項目こそ減ったもの、管理策が一部統合されたのみであり、廃止された項目は実質ありません。
新しい4カテゴリは以下の4つです。

  • 組織的な管理策(37項目)
  • 人的な管理策(8項目)
  • 物理的な管理策(14項目)
  • 技術的な管理策(34項目)

新たに追加された管理策は以下の11項目です。

  • 5.7 脅威インテリジェンス
  • 5.23 クラウドサービスの利用における情報セキュリティ
  • 5.30 ビジネス継続のためのICTの備え
  • 7.4 物理的セキュリティの監視
  • 8.9 構成管理
  • 8.10 情報の削除
  • 8.11 データマスキング
  • 8.12 データ漏えい防止
  • 8.16 監視活動
  • 8.23 ウェブフィルタリング
  • 8.28 セキュアコーディング

ISMSに関連するその他のISOファミリー

ISMSに関連するISO/IEC規格には他にも以下のようなものがあります。

ISO/IEC 27000: 情報セキュリティマネジメントシステム(ISMS)の基本用語と定義を提供する規格です。ISO/IEC 27000は、情報セキュリティに関連する一般的な用語やコンセプトの統一的な理解を促進するために使用されます。

ISO/IEC 27002: 情報セキュリティの実施に関するガイドラインを提供する規格です。ISO/IEC 27002は、情報セキュリティのベストプラクティスやコントロールの選択・実装に関する具体的な指針を提供します。この規格は、組織が情報セキュリティリスクに対処するための実践的な手法を採用する際に役立ちます。

ISO/IEC 27017: クラウドコンピューティングにおける情報セキュリティのためのガイドラインを提供する規格です。ISO/IEC 27017は、クラウドサービスプロバイダーとクラウドサービスの利用者が情報セキュリティを確保するためのガイドとして役立ちます。

ISO/IEC 31000: リスクマネジメントの原則とガイドラインを提供する規格です。ISO/IEC 31000は、組織がリスクを特定し、評価し、管理するための一般的なフレームワークを提供します。情報セキュリティリスク管理においても、ISO/IEC 31000の原則と手法は適用できます。

(編集:Assured編集部)

早崎 敏寛
早崎 敏寛
Webシステム開発を中心としたSIでキャリアをスタートし、金融システム子会社でPM、インフラ構築・運用等を経験。その後、総合コンサルティングファームにて、マネージャとしてセキュリティコンサルティングを担当したのち、アシュアードに入社。ドメインエキスパートとしてサービス開発や顧客支援を担う。主な資格:CISA、CISM、PMP。

前の記事

prev-article-image

SOC2レポートとは?評価基準やISMSとの違いを解説します

次の記事

next-article-image

ISO27017とは?ISO27001との違いや要求事項の詳細について解説します

セキュリティ評価プラットフォーム「Assured」は、クラウドサービスの安全性を可視化するサービスです。

国内外のガイドラインやフレームワークに基づき、クラウドサービス事業者からセキュリティ情報を収集。専門家がリスクを評価し、データベース化しています。評価情報は開示申請だけで最短、即日で確認可能。海外のクラウドサービスも評価でき、未掲載のサービスは代行調査も承ります。

セキュリティ評価情報は、最新の評価に更新次第、通知されるため、定期監査にもうってつけ。セキュリティ評価にお悩みの方はぜひ、資料をダウンロードし詳細をご確認ください。

Assured紹介資料のダウンロード(無料)はこちら

Assured

クラウドサービスの安全性を可視化する
セキュリティ評価プラットフォーム

資料ダウンロード

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

メールマガジン登録

関連記事

Seminar

開催予定のセキュリティセミナー

Ranking

人気記事ランキング

Tag

タグ

Assuredとは?

Assured(アシュアード)は、クラウドサービスの安全性を可視化する、セキュリティ評価プラットフォームです。最短即日でご覧いただけるセキュリティ評価情報や、クラウドサービスが取得している認証などを一元化したデータベースにより、貴社のDXを加速します。

詳しくはこちら

メールマガジン配信中

コラムの更新情報、セキュリティ評価にまつわるセミナー情報、企業のセキュリティ評価・管理体制事例などをお届けします。

メールマガジン登録
Assured

クラウドサービスの安全性を可視化するセキュリティ評価プラットフォーム

資料ダウンロード

採用情報はこちら

Visional グループ 運営サービス

即戦力人材と企業をつなぐ転職サイト ビズリーチ | データがあつまり、つながり、活かされる HRMOSシリーズ | 求人検索エンジン スタンバイ | OB/OG訪問ネットワークサービス ビズリーチ・キャンパス | 法人・審査制M&Aマッチングサイト M&A Succeed(M&Aサクシード) | 即戦力人材の転職支援サービス BINAR(バイナー)

ページトップへ戻る

© Assured, Inc. All Rights Reserved.