ISO27000ファミリーとその概要

投稿日:

ISOプロ担当者

最終更新日: 2019年11月22日

情報セキュリティマネジメントシステム(ISMS)認証規格としては、ISO27001が有名ですが、ISO27000シリーズはISO27001だけではありません。今回は、ISO27000ファミリーと呼ばれるISMS国際規格のそれぞれの概要についてご紹介していきましょう。

ISO27000ファミリーとは

ISO27000ファミリーとは、国際標準化機構(ISO)と国際電気標準会議(IEC)によって策定された情報セキュリティマネジメントシステムに関する規格群のことで、中核を成すISO27001を始めとしたISMSに関する第三者認証規格のことです。

ISO27000ファミリーはISO27000シリーズとも呼ばれ、全体を通して情報セキュリティの管理・リスク低減に関するフレームワークとして国際的に活用されています。

ISO27000ファミリーのそれぞれの概要

以下では、ISO27000ファミリーに属する国際規格とそれぞれの概要について解説していきたいと思います。

ISO27000

ISO27000には、ISMS規格についての概要や規格要求事項の中に出てくる基本的な用語集が示されています。

ISO27001

ISO27001は組織のISMSを認証するための要求事項が示されています。組織はこの要求事項に準じたマネジメントシステムを構築することで規格の認証を受けることが可能になっており、ISO27000ファミリーの中でもこの規格が中核を成す存在となっています。ISOからISMSの認証を得ることを「ISO27001を取得する」と表現するのは、このISO27001が規格の要求事項であるためです。

ISO27002

ISO27002は、ISO27001にて示されている要求事項をもとにより具体的な情報セキュリティマネジメントの管理策を示した規格です。日本語訳では「情報セキュリティマネジメントの実践のための規範」となっています。ISO27001を日本語訳したJIS Q 27001の附属書Aでも情報セキュリティマネジメントの具体的な管理策が示されていますが、附属書Aに示されている管理策が114種類であるのに対してISO27002(JIS Q 27002)では1000近くの実施方法が記載されています。

——もちろん、この1000近くの管理策を参考にISMSを運用するのが理想的ですが、全てを実践することは非常に大変です。実際に管理策を実践するかどうかについては、自社の情報セキュリティリスクレベルを鑑みて、場合によってはコンサルタントに相談してみると良いでしょう。

ISO27003

ISO27003はISMS実施の手引きとなっており、ISO27001の要求事項に従って構築したISMSを組織で実施するためのガイドのような役割を持っています。

ISO27004

ISO27004では、実装されたISMS及びISO27001で規定されたマネジメントシステムの有効性を評価するための手段とリスクアセスメントを行う上でのガイドの役割を持っています。ISO27004はISO27002で示されている管理策に合わせて具体的な方法が示されています。

ISO27005

ISO27005は、リスク管理プロセスと情報セキュリティ管理に関わる作業や手順を規格化し、提示しています。

ISO27006

ISO27006には、ISO27001で規定された要求事項をもとに企業のISMSを審査する審査機関及び認証機関に対する要求事項が示されています。

ISO27007

ISO27007には、ISMS監査の指針が示されています。——要するに、審査のための規格です。

ISO27008

ISO27008もISO27007と同様に審査のための規格(審査員のための規格)となっています。

ISO27010

ISO27010は、部門間あるいは組織間の通信(コミュニケーション)のための情報セキュリティマネジメントに関する規格です。

ISO27011

ISO27011は電気通信事業者におけるISMSの実装をサポートするガイドラインで、通信事業者のISMS適用に関するガイドが示されています。

ISO27013

ISO27013は、ISO20000(ITサービスマネジメント規格)とISO27001の統合実装に関するガイドが示された規格であり、両方の規格を取得する際にこれらによって構築されたマネジメントシステムを効率的に統合する際の手引書となる役割を持ちます。

ISO27014

ISO27014では、情報セキュリティガバナンス(内部監査)の枠組みを示したものです。

ISO27015

ISO27015は、金融や保険などの商材を扱う企業を対象として具体的なISMSの管理策を示した規格です。

ISO27017

ISO27017は、クラウドサービスの利用者や提供者を対象として具体的なISMSの管理策を示した規格です。

ISO27018

ISO27018は、クラウドサービス提供事業者がクラウド上に存在する個人情報を保護する目的で行うべき管理策が示された規格です。

ISO27031

ISO27031は、IT-BCP(ITシステムの事業継続性)に必要な管理策が示された規格です。

ISO27032

ISO27032は、サイバーセキュリティに特化した具体的な管理策などを示した規格です。

ISO27033

ISO27033は、情報技術ネットワークに関するセキュリティマネジメントシステムの規格です。

ISO27034

ISO27034は、アプリケーションセキュリティに関する管理策などが示された規格です。

ISO27799

ISO27799は、医療機関などを対象とした個人の健康情報を保護することを目的とした規格です。

まとめ

今回は、ISO27000シリーズに関して簡単に解説してきましたが、基本となるのはISO27001の要求事項です。ISO27001を取得した上で、自社の提供するサービスや状況に応じてISO27000ファミリーの各種に取り組むことでより強固なセキュリティ体制を構築することができるでしょう。

ISOプロでは月額4万円から御社に合わせたISO運用を実施中

ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。

また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。

人気記事( ISO27001コラム一覧)

1
2
3
4
5
6
7
8

関連するおすすめ記事


ISOプロ講座
HACCPプロ講座