ISO27001-2022
ISO27001 > ISO27001:2022とは > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO...
ISO27001 > ISO27001:2022とは > 4. 組織の状況から10. 改善 > 付属書A.管理目的及び管理策 > 詳細管理策の解説 > 情報セキュリティ用語 > 医療情報処理業 ISO27001 > 製造業 ISO27001 | サイトマップ
ISO27001(2022年版)とは
ISO/IEC 27000
ISO27001と ISO 27002 は、ISO/IEC 27000 シリーズと呼ばれる情報セキュリティ規格群の 1つです。~
この ISO/IEC 27000 シリーズは改訂され、2022年版が最新規格です。~
~
ISO27000は、ISO/IEC 27000 シリーズの規格 の概要と、このシリーズ規格で使用される用語を定義した規格です。
国際規格の ISO27001 は、この ISO/IEC 27000 が引用規格、及び用語及び定義の参照規格として用いられています。ISO/IEC 27000 も、ISO/IEC 27001 の改訂に併せて、改訂されます。
ISO/IEC 27001 改訂のポイント
ISO/IEC 27001 の改訂のポイントは3つです。
- サイバー攻撃の高度・巧妙化です。新しいセキュリティリスクに対し、ISO規格も管理策を見直し
- 新たな技術の進歩・普及と社会情勢の変化(スマートフォン、5G、IoTデバイスの利用やデジタル活用が進み、セキュリティリスクも高まっていること)
- 組織のIT資産の分散です。従来は自社で情報システムを運用・管理する概念、オンプレミス環境が中心でしたが、クラウドサービスが急激に進み、新たな基準 (外部サービスの活用)が必要となっているのです。
ISO/IEC 27001:2022は、ISO/IEC27001:2013を継承した規格です。~
ISO/IEC27001:2013は、ISO MSS共通要素の適用、リスクマネジメント(ISO 31000:200(JIS Q 31000:2010))への対応を考慮した改定内容となっていました。~
ISO MSS共通要素は、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性を図り、組織の負担を軽減することが共通化の目的です。~
マネジメントシステムの一貫性と整合性を向上させた統一された上位構造と共通テキストから構成されています。
そのために、どのようにするではなく、何をするかのマネジメントシステムの共通的な要求事項と、分野に固有な要求事項で構成されています。
ISO/IEC 27001:2022の構成
- 0. 序文
- 1. 適用範囲
- 2. 引用規格
- 3. 用語及び定義
- 4. 組織の状況
- 4.1 組織及び状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 ISMSの適用範囲の決定
- 4.4 ISMS
- 5. リーダーシップ
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
- 5.3 組織の役割、責任及び権限
- 6. 計画
- 6.1 リスク及び機会に対処する活動
- 6.1.1 一般
- 6.1.2 情報セキュリティリスクアセスメント
- 6.1.3 情報セキュリティリスク対応
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- 6.3 変更の計画策定
- 7. 支援
- 7.1 資源
- 7.2 力量
- 7.3 認識
- 7.4 コミュニケーション
- 7.5 文書化した情報
- 7.5.1 一般
- 7.5.2 作成及び更新
- 7.5.3 文書化した情報の管理
- 8. 運用
- 8.1 運用の計画及び管理
- 8.2 情報セキュリティリスクアセスメント
- 8.3 情報セキュリティリスク対応
- 9. パフォーマンス評価
- 9.1 監視、測定、分析及び評価
- 9.2 内部監査
- 9.3 マネジメントレビュー
- 10. 改善
- 10.1 継続的改善
- 10.2 不適合及び是正処置
- 付属書A.管理目的及び管理策
- A.5 組織的管理策
- A.6 人的管理策
- A.7 物理的管理策
- A.8 技術的管理策
詳細管理策 ワンポイント解説 ──────────────────
A.5 組織的管理策
- A.5.1 情報セキュリティのための方針群
- A.5.2 情報セキュリティのための方針群のレビュー
解説
詳細管理策の見出しは、”方針群”となっている。方針はひとつではなく、複数を示していることがわかる。経営者は情報セキュリティ方針を作成して周知する。
~
~
- 5.19 供給者関係における情報セキュリティ
- 5.20 供給者との合意における情報セキュリティの取扱い
- 5.21 情報通信技術(ICT)サプライチェーンにおける情報セキュリティの管理
- 5.22 供給者のサービス提供 の監視、レビュー及び変更管理
解説
この項目は、供給者がアクセスできる組織の資産の保護を確実にするため行う管理策である。
企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。
サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。
リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。
~
~
~
- A.5.24 情報セキュリティインシデント管理の計画策定及び準備
- A.5.25 情報セキュリティ事象の評価及び決定
- A.5.26 情報セキュリティイン シデントへの対応
- A.5.27 情報セキュリティインシデントからの学習
- A.5.28 証拠の収集
解説
- 情報セキュリティインシデントの管理及びその改善は、情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため行なう。
- 情報セキュリティの事象及び弱点の報告は、情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため行なう。~
~
~
~
- A.5.29 事業の中断・阻害時の情報セキュリティ
- A.5.30 事業継続のための ICT の備え
解説
- 事業継続計画(Business continuity planning、BCP)は「競争的優位性と価値体系の完全性を維持しながら、組織が内外の脅威にさらされる事態を識別し、効果的防止策と組織の回復策を提供するためハードウェア資産とソフトウェア資産を総合する計画」のこと。事業継続と復旧計画(Business Continuity & Resiliency Planning、BCRP)とも呼ばれる。
- 情報セキュリティの継続が事業継続マネジメント(BCM という。)プロセス又は災害復旧管理(DRM という。)プロセスに織り込まれているか否かを判断することが望ましい。
- 事業継続及び災害復旧に関する正式な計画が策定されていない場合,通常の業務状況とは異なる困難な状況においても,情報セキュリティ要求事項は変わらず存続することを,情報セキュリティマネジメントの前提とすることが望ましい。
- 事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。
- 情報セキュリティに対して"追加的な"BIA を実施するための時間及び労力を軽減するには,通常の BCM又は DRM における BIA に,情報セキュリティに関する側面を織り込むことが推奨される。すなわち,情報セキュリティ継続に関する要求事項が,BCM プロセス又は DRM プロセスにおいて明確に定められているということである。
- BCMに関する情報が,JIS Q 22301,ISO 22313 及び ISO/IEC 27031 に示されている。
~
~
~
- A.5.31 法令、規制及び契約上の要求事項
- A.5.32 知的財産権
- A.5.33 記録の保護
- A.5.34 プライバシー及び個人識別可能情報(PII)の保護
解説
- 法的要求事項の順守は、法令、規則又は契約上のあらゆる義務、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため行なう。~
- 情報セキュリティ方針及び標準の順守、並びに技術的コンプライアンスは、組織のセキュリティ方針及び標準類へのシステムの順守を確実にするため行なう。~
- 情報システム監査に対する考慮事項は、情報システム監査手続の有効性を最大限にするため、及び情報システム監査手続への/からの干渉を最小限にするため行なう。
A.6 人的管理策 ──────────────────────────
- A.6.1 選考
- A.6.2 雇用条件
- A.6.3 情報セキュリティの意識向上、教育及び訓練
- A.6.4 懲戒手続
- A.6.5 雇用の終了又は変更後の責任
- A.6.8 情報セキュリティ事象の報告
解説
- 雇用前は、従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は設備の不正使用のリスクを低減するために行なう。
- 雇用期間中は、従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織のセキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため行なう。
- 雇用の終了または変更は、従業員、契約相手及び第三者の利用者の組織から離脱又は雇用の変更を所定の方法で行うことを確実にするため行なう。
A.7 物理的管理策 ──────────────────────────
- 7.1 物理的セキュリティ境界
- 7.2 物理的入退管理策
- 7.3 オフィス、部屋及び施設のセキュリティ
- 7.4 物理的セキュリティの監視
- 7.5 物理的及び環境的脅威 からの保護
- 7.6 セキュリティを保つべき領域での作業
- 7.7 クリアデスク・クリアスクリーン
- 7.8 装置の設置及び保護
- 7.9 構外にある資産のセキュリティ
- 7.10 記憶媒体
- 7.11 サポートユーティリティ
解説
- セキュリティを保つべき領域は、組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため行なう。~
- 装置のセキュリティは、資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するために行なう。
A.8 技術的管理策 ──────────────────────────
- A.8.20 ネットワークセキュリティ
- A.8.21 ネットワークサービスのセキュリティ
- A.8.22 ネットワークの分離
- A.8.23 ウェブフィルタリング
解説
- アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。~-通信のセキュリティは、ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするために行う。
~
~
~
- A.8.6 容量・能力の管理
- A.8.7 マルウェアに対する保護
- A.8.8 技術的ぜい弱性の管理
- A.8.13 情報のバックアップ
- A.8.15 ログ取得
- A.8.17 クロックの同期
- A.8.19 運用システムへのソフトウェアの導入
- A.8.31 開発環境、テスト環境 及び本番環境の分離
- A.8.32 変更管理
- A.8.34 監査におけるテスト中の情報システムの保護
解説
運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするために行う。
- A.8.25 セキュリティに配慮した開発のライフサイクル
- A.8.26 アプリケーションセキ ュリティの要求事項
- A.8.27 セキュリティに配慮したシステムアーキテクチャ及びシステム構築の原則
- A.8.29 開発及び受入れにおけるセキュリティテスト
- A.8.30 外部委託による開発
- A.8.31 開発環境、テスト環境 及び本番環境の分離
- A.8.32 変更管理
- A.8.33 テスト用情報
解説
システムの取得、開発及び保守における管理策は、ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため行う。
これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含んでいる。
~
~
~
2022年版での新規認証取得支援、運用維持・改善のコンサルティングを行っております。
- お客様のニーズにもとづき、ISO取得や改善に必要なサービス内容、工数等を設定できます。お気軽にお問合せください。
- 既にシステム運用をしていて、改善したいのだが。。。といった改善のご相談もお気軽にお問合せください。
- 現在、ISO27001の情報セキュリティマニュアルの改良のための書き換えサービスを実施しております。
- サービス内容はお客様との相談により対応しております。お気軽にお問合せください。
- ISO事務局の運用支援・業務代行もご相談のうえサービス提供しております。お気軽にお問合せください。
~
~
御見積り・ご相談等は信頼と実績のタテックスまでお問合せください。
お問合せは、ここをクリック~
↓
| ''お問合せ'' |
~
~
~
~
~
~
~
~
~
