ISO/IEC 27002

ISO/IEC 27002の最新ニュースをまとめて検索！

ISO/IEC 27002 は、国際標準化機構 (ISO) と国際電気標準会議 (IEC) が策定した情報セキュリティの規格。規格の名称は Information technology - Security techniques - Code of practice for information security management。日本語訳は、日本工業規格 JIS Q 27002（情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントの実践のための規範）となっている。

ISO/IEC 27002 は、情報セキュリティマネジメントシステム (ISMS) を立ち上げ、実装し、運用するための情報セキュリティ管理に関するベストプラクティスを提供する。

[編集] 概要

導入部の後、標準は以下の12の主要な章から構成されている。

リスクアセスメントおよびリスク対応
セキュリティ基本方針 ― 管理方針
情報セキュリティのための組織 ― 情報セキュリティのガバナンス
資産の管理 ― 情報資産の目録と分類
人的資源のセキュリティ ― 従業員の雇用／異動／解雇に伴うセキュリティ
物理的及び環境的セキュリティ ― コンピュータ機器の保護
通信及び運用管理 ― システムおよびネットワークにおける技術的セキュリティの管理
アクセス制御 ― ネットワーク／システム／アプリケーション／機能やデータへのアクセス権制限
情報システムの取得、開発及び保守 ― アプリケーションへのセキュリティ組込み
情報セキュリティインシデントの管理 ― 違反の予測と、違反に対する適切な対処
事業継続管理 ― 業務上の重要なプロセスとシステムを保護し、保守し、復旧する
順守 ― 情報セキュリティポリシー／規格／法律／規定の順守の徹底

各章の中で、情報セキュリティ制御とその目的が述べられている。情報セキュリティ制御は、一般にそれらの目的を達成するベストプラクティスの手段と見なされる。各制御について、実施要項が提供されている。個々の制御が必須というわけではない。

各組織は、固有の状況に適切な制御を選択する前に、その特定の要求を決定するため、構造化された情報セキュリティ・リスクアセスメント・プロセスを実施することが期待されている。導入部にはリスクアセスメント・プロセスの概要も書かれているが、その部分をカバーする別の標準として ISO Technical Report TR 13335 GMITS Part 3 - Guidelines for the management of IT security - Security Techniques や BS 7799-3 などがある。
汎用的標準で、考えられるあらゆる制御をリストアップするのは、事実上不可能である。ISO/IEC 27001 と 27002 の個別の産業分野に関する手引きとして、通信業、金融サービス業、医療関係などの各種産業向けの手引き作成が予定されている。

[編集] 歴史

英国規格 BS 7799-1:1999（1999年は発行年）がそのまま初版の ISO/IEC 17799:2000になり、2005年に改訂された。2007年に ISO/IEC 27002:2005 と改称され、ISO/IEC 27000 シリーズの一部となった。

規格の対応関係
英国規格	国際規格	日本工業規格	備考
BS 7799-2	ISO/IEC 27001	JIS Q 27001	ISMS 要求事項
BS 7799-1	ISO/IEC 17799 　　　　↓ ISO/IEC 27002	JIS X 5080 　　　↓ JIS Q 27002	ISM 実践のための規範

[編集] 対応する各国の規格

AS/NZS ISO/IEC 17799:2006 （オーストラリア、ニュージーランド）
NEN-ISO/IEC 17799:2002 （オランダ、2005年版は翻訳中）
DS484:2005 （ドイツ）
SS 627799 （スウェーデン）
JIS Q 27002:2006（日本）
BS ISO/IEC 27002:2005 （イギリス）
UNIT/ISO 17799:2005 （ウルグアイ）
EVS-ISO/IEC 17799:2003 （エストニア、2005年版は翻訳中）

ISO/IEC 規格の各国語への翻訳には数か月から数年を要する。

[編集] ISO/IEC 27000 シリーズ

ISO/IEC 27002 は、ISO/IEC の ISMS 規格群（ISO/IEC 27000 シリーズ）の一部である。同シリーズには他に次の規格がある。

ISO/IEC 27001:2005 - 各組織の ISMS が規格に準拠していることの認証について。ISO/IEC 27002 で示されているベストプラクティスを実際のシステムとして実装／運用／改良する際の要求仕様を示している。
ISO/IEC 27006:2007 - 認証／登録プロセスの要求仕様（2007年3月発行）

次の規格は、準備中である。

ISO/IEC 27000 - ISMS 規格についての基本用語集
ISO/IEC 27003 - ISMS 実装ガイド
ISO/IEC 27004 - 情報セキュリティの測定
ISO/IEC 27005 - 情報セキュリティのリスクマネジメント（英国規格 BS 7799-3 に関連）。
ISO/IEC 27007 - ISMS 監査の指針
ISO/IEC 27799 - ISMS の医療業界への適用に関する手引き

[編集] 外部リンク

フリー百科事典『ウィキペディア（Wikipedia）』 Text is available under GNU Free Documentation License.

最終更新 2009年9月15日 (火) 22:55 （日時は個人設定で未設定ならばUTC）。
【ISO/IEC 27002】変更履歴