• ISO27000ファミリーとは、情報セキュリティマネジメントシステムに関する規格群のことである
  • 情報セキュリティの管理・リスク低減に関するフレームワークとして国際的に活用されている
  • ISO27001を取得した上で、ISO27000ファミリーの各種に取り組むことでより強固なセキュリティ体制を構築することができる

情報セキュリティマネジメントシステム に関する国際規格 の一つで知られている ISO27001 。この規格以外にも情報セキュリティマネジメントシステムに関する規格が存在し、これらの規格群を ISO 27000シリーズと呼びます。
ISO27000シリーズは要求事項を規定するもの、用語を規定するものなど様々です。

この記事はISO27000シリーズと呼ばれるISMS国際規格のそれぞれの概要について簡単に解説していきます。

ISO27000シリーズとは

ISO27000シリーズとは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証 規格のことです。

ISO27000シリーズは、情報セキュリティの管理・リスク低減に関するフレームワークとして国際的に活用されています。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

ISO27000シリーズのそれぞれの概要

以下では、ISO27000シリーズに属する国際規格とそれぞれの概要について解説していきたいと思います。

ISO27000

ISO27000には、ISMS規格についての概要や規格要求事項の中に出てくる基本的な用語集が示されています。

ISO27001

ISO27001は組織のISMSを認証するための要求事項が示されています。組織はこの要求事項に準じたマネジメントシステムを構築することで規格の認証を受けることが可能になっており、ISO27000シリーズの中でもこの規格が中核を成す存在となっています。ISOからISMSの認証を得ることを「ISO27001を取得する」と表現するのは、このISO27001が規格の要求事項であるためです。

関連記事:ISO27001とは?認証取得のキホンと規格要求事項を徹底解説【ISO27001入門】

ISO27002

ISO27002は、ISO27001にて示されている要求事項をもとにより具体的な情報セキュリティマネジメントの管理策を示した規格です。日本語訳では「情報セキュリティマネジメントの実践のための規範」となっています。ISO27001を日本語訳したJIS Q 27001の附属書Aでも情報セキュリティマネジメントの具体的な管理策が示されていますが、附属書Aに示されている管理策が114種類であるのに対してISO27002(JIS Q 27002)では1000近くの実施方法が記載されています。

——もちろん、この1000近くの管理策を参考にISMSを運用するのが理想的ですが、全てを実践することは非常に大変です。実際に管理策を実践するかどうかについては、自社の情報セキュリティリスクレベルを鑑みて、場合によってはコンサルタントに相談してみると良いでしょう。

ISO27003

ISO27003はISMS実施の手引きとなっており、ISO27001の要求事項に従って構築したISMSを組織で実施するためのガイドのような役割を持っています。

ISO27004

ISO27004では、実装されたISMS及びISO27001で規定されたマネジメントシステムの有効性を評価するための手段とリスクアセスメント を行う上でのガイドの役割を持っています。ISO27004はISO27002で示されている管理策に合わせて具体的な方法が示されています。

ISO27005

ISO27005は、リスク管理プロセスと情報セキュリティ管理に関わる作業や手順を規格化し、提示しています。

ISO27006

ISO27006には、ISO27001で規定された要求事項をもとに企業のISMSを審査する審査機関及び認証機関に対する要求事項が示されています。

ISO27007

ISO27007には、ISMS監査の指針が示されています。——要するに、審査のための規格です。

ISO27008

ISO27008もISO27007と同様に審査のための規格(審査員のための規格)となっています。

ISO27010

ISO27010は、部門間あるいは組織間の通信(コミュニケーション)のための情報セキュリティマネジメントに関する規格です。

ISO27011

ISO27011は電気通信事業者におけるISMSの実装をサポートするガイドラインで、通信事業者のISMS適用に関するガイドが示されています。

ISO27013

ISO27013は、ISO20000(ITサービスマネジメント規格)とISO27001の統合実装に関するガイドが示された規格であり、両方の規格を取得する際にこれらによって構築されたマネジメントシステムを効率的に統合する際の手引書となる役割を持ちます。

ISO27014

ISO27014では、情報セキュリティガバナンス(内部監査)の枠組みを示したものです。

ISO27015

ISO27015は、金融や保険などの商材を扱う企業を対象として具体的なISMSの管理策を示した規格です。

ISO27017

ISO27017は、クラウドサービスの利用者や提供者を対象として具体的なISMSの管理策を示した規格です。

関連記事: ISO27017とは?取得期間・費用・方法を解説

ISO27018

ISO27018は、クラウドサービス提供事業者がクラウド上に存在する個人情報を保護する目的で行うべき管理策が示された規格です。

関連記事: ISO27018と個人情報保護 Pマークと何が違う?

ISO27031

ISO27031は、IT-BCP(ITシステムの事業継続性)に必要な管理策が示された規格です。

ISO27032

ISO27032は、サイバーセキュリティに特化した具体的な管理策などを示した規格です。

ISO27033

ISO27033は、情報技術ネットワークに関するセキュリティマネジメントシステムの規格です。

ISO27034

ISO27034は、アプリケーションセキュリティに関する管理策などが示された規格です。

ISO27701

ISO27701は、組織が扱う個人情報について、プライバシーの観点で管理・保護していくことを目的とした2019年に発行された規格です。

関連記事: プライバシーを守る国際規格ISO27701とは?

ISO27799

ISO27799は、医療機関などを対象とした個人の健康情報を保護することを目的とした規格です。

ISMS認証との違い


ISMS(Information Security Management System)とは、情報セキュリティマネジメントシステムのことで、企業や組織が保持している情報資産を守るための仕組みです。情報セキュリティを保つための「機密性 」「完全性 」「可用性」を重視しています。

・機密性:アクセスを許可された人だけが、その情報にアクセスできること
・完全性:情報が正確かつ最新であること
・可用性:アクセスを許可された人が、必要とするときに情報にアクセスできること

この3つの要素をバランスよく高めていくことで、ISMSでは情報セキュリティを向上させますが、特にその方法は決まっていません。そこで、ISMSとして実施すべき要求事項を定め、それを運用していることを認証する制度としてISMS認証があります。

一方、ISO27000シリーズは情報セキュリティにおける国際規格のため、取得するには第三者機関による認証が必要です。ISO27000シリーズの中核となっているISO27001では、情報セキュリティの三大要素を維持・向上させるガイドラインとして、ISMSの要求事項が定められています。その他の規格は、基本的にISO27001をより強固にするために、特定の分野における情報セキュリティを高めるためのアドオン規格です。
そのため、ISO27000シリーズは、ISMSをどのように構築するかといったガイドラインと言えるでしょう。

同じ意味で扱われることも多い2つの言葉ですが、ISO27000シリーズは「規格」であり、ISMSは「仕組み」であるところが異なるのです。

関連記事: 【初心者向け】ISMSとは?規格やISOとの違いを徹底解説
累計ダウンロード5,000件突破!ISO27001丸わかり説明資料

Pマークとの違い


Pマーク(プライバシーマーク)とは、個人情報保護におけるマネジメントシステムです。日本国内における認証制度で、取得すると漏洩・滅失・棄損などのリスクから個人情報を保護している体制を築いていることの証明となります。

ISO27000シリーズは、組織が保持する情報資産を保護する国際規格です。個人情報については、ISO27001やISO27018、ISO27701などの要求事項にも含まれています。ただし、Pマークのように個人情報のみを扱っているわけではなく、個人情報を含む情報資産すべてを対象とするISO27001では、Pマークとは目指す方向性が異なっているのです。

関連記事: Pマークとは?認証取得のキホンと規格要求事項を徹底解説【Pマーク入門】

まとめ

今回は、ISO27000シリーズに関して簡単に解説してきましたが、基本となるのはISO27001の要求事項です。ISO27001を取得した上で、自社の提供するサービスや状況に応じてISO27000シリーズの各種に取り組むことでより強固なセキュリティ体制を構築することができるでしょう。

累計ダウンロード5,000件突破!ISO27001丸わかり説明資料
  • 無料資料 | ISO27001・Pマーク導入 徹底解説
  • 『ISO27001・Pマークを網羅的に分かりやすく』をコンセプトに、ISOコンサルタント監修のもとISO27001・Pマークについて図解などを交え詳細に解説しています。分かりやすいというお声も多くいただいていますので、ぜひ御社でご活用ください。
  • 必須ご担当者様名
  • 必須電話番号
  • 任意会社名
  • 任意メールアドレス
  • 必須個人情報の取り扱い
    (個人情報保護方針を読む)

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。

サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

ISO27001、40,000円/月から作業工数ほぼ0実現!ISO新規取得・運用完全サポートならISOプロ