ISO/IEC 27002
(JIS Q 27002 から転送)
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/10/04 00:31 UTC 版)
ナビゲーションに移動 検索に移動ISO/IEC 27002 は、国際標準化機構 (ISO) と 国際電気標準会議 (IEC) が共同で策定した、企業などの組織における情報セキュリティマネジメントシステムの仕様を定めた規格。規格の名称は "Code of practice for information security management"。日本語訳は、日本産業規格 JIS Q 27002「情報セキュリティマネジメントの実践のための規範」である。情報セキュリティ管理のベストプラクティスの実施要項(規範)を提供する。
規格の正式名称は次のとおり。
- ISO/IEC 27002 Information technology -- Security techniques -- Code of practice for information security management
- JIS Q 27002 情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントの実践のための規範
概要
導入部の後、規格は次の12の主要な章から構成されている。
- リスクアセスメントおよびリスク対応
- セキュリティ基本方針 ― 管理方針
- 情報セキュリティのための組織 ― 情報セキュリティのガバナンス
- 資産の管理 ― 情報資産の目録と分類
- 人的資源のセキュリティ ― 従業員の雇用/異動/解雇に伴うセキュリティ
- 物理的及び環境的セキュリティ ― コンピュータ機器の保護
- 通信及び運用管理 ― システムおよびネットワークにおける技術的セキュリティの管理
- アクセス制御 ― ネットワーク/システム/アプリケーション/機能やデータへのアクセス権制限
- 情報システムの取得、開発及び保守 ― アプリケーションへのセキュリティ組込み
- 情報セキュリティインシデントの管理 ― 違反の予測と、違反に対する適切な対処
- 事業継続管理 ― 業務上の重要なプロセスとシステムを保護し、保守し、復旧する
- 順守 ― 情報セキュリティポリシー/規格/法律/規定の順守の徹底
各章の中で、情報セキュリティ制御とその目的が述べられている。情報セキュリティ制御は、一般にそれらの目的を達成するベストプラクティスの手段と見なされる。各制御について、実施要項が提供されている。個々の制御が必須というわけではない。
- 各組織は、固有の状況に適切な制御を選択する前に、その特定の要求を決定するため、構造化された情報セキュリティ・リスクアセスメント・プロセスを実施することが期待されている。導入部にはリスクアセスメント・プロセスの概要も書かれているが、その部分をカバーする別の標準として ISO Technical Report TR 13335 GMITS Part 3 - Guidelines for the management of IT security - Security Techniques や BS 7799-3 (ISO/IEC 27005) などがある。
- 汎用的な規格で、考えられるあらゆる制御をリストアップするのは、事実上不可能である。ISO/IEC 27001 と 27002 の個別の産業分野に関する手引きとして、通信業、金融サービス業、医療関係などの各種産業向けの手引き作成が予定されている。
歴史
英国規格 BS 7799-1:1999(1999は発行年)がそのまま初版の ISO/IEC 17799:2000になり、2005年に改訂された。2007年に ISO/IEC 27002:2005 と改称され、ISO/IEC 27000 シリーズの一部となった。
| 英国規格 | 国際規格 | 日本産業規格 | 備考 |
|---|---|---|---|
| BS 7799-2 | ISO/IEC 27001 | JIS Q 27001 | ISMS 要求事項 |
| BS 7799-1 | ISO/IEC 17799 ↓ ISO/IEC 27002 |
JIS X 5080 ↓ JIS Q 27002 |
ISM 実践のための規範 |
対応する各国の規格
- BS ISO/IEC 27002:2005 (イギリス)- 同一のもの
- AS/NZS ISO/IEC 17799:2006 (オーストラリア、ニュージーランド)
- NEN-ISO/IEC 17799:2002 (オランダ、2005年版は翻訳中)
- DS484:2005 (ドイツ)
- SS 627799 (スウェーデン)
- JIS Q 27002:2006(日本)
- UNIT/ISO 17799:2005 (ウルグアイ)
- EVS-ISO/IEC 17799:2003 (エストニア、2005年版は翻訳中)
- CNS27002(中華民国)
- GB/T 22081-2008(中華人民共和国)
ISO/IEC 規格の各国語への翻訳には数か月から数年を要する。
ISO/IEC 27000 シリーズ
詳細は「ISO/IEC 27000 シリーズ」を参照
ISO/IEC 27002 は、ISO/IEC が定めた ISMS 規格群(ISO/IEC 27000 シリーズ)の1部である。他に次の規格などがある。
- ISO/IEC 27000:2012 - ISMS 規格についての概要と基本用語集
- ISO/IEC 27001:2005 - 各組織の ISMS が規格に準拠していることの認証について。ISO/IEC 27002 で示されているベストプラクティスを実際のシステムとして実装/運用/改良する際の要求仕様を示している。
外部リンク
|
ISO標準
|
|
|---|---|
| 国際標準一覧 · ローマ字表記国際規格一覧 · 国際電気標準会議が定める国際標準一覧 |
|
| 1から 10000まで |
|
| 10001から 20000まで |
|
| 20001以上 |
|
| 組織 | |
 カテゴリ |
|
| 関連項目: ISOで始まる記事一覧 | |
「JIS Q 27002」の例文・使い方・用例・文例
- JIS規格とは、品質の改善、生産能力の向上などを図る目的で制定された国家規格です。
- JISマークという,日本工業規格のマーク
- 子どもたちのIQをテストする
- CQ、CQ、こちらはKA6J36です。
- ユビキノンはコエンザイムQ10とも呼ばれる。
- その企業は厳しくQCを行っています。
- 輸入数量の増加によって国内産業が損害を被るのを防ぐ為に、IQ制度を導入した。
- QC7つ道具は、特性要因図、チェックシート、ヒストグラム、散布図、パレート図、グラフ ・層別の7つがある。
- QCサークルが職場の品質改善活動を進める。
- Qレシオは企業の資産に注目した株式指標です。
- 定性的分析に用いられる7つの手法を総称して「新QC7つ道具」と呼んでいる。
- そのSQLファイルを送ってもらうようにあなたに頼むのを忘れました。
- それは最新のSQLです。
- もしFAQであなたの質問に対する回答が見つからなければ、連絡してください。
- FAQを見ましたが解決できませんでした。
- 仮定法, 叙想法, 仮定法の動詞 《たとえば God save the Queen! の save》.
- 連合国に占領されていた日本では, GHQ の命令は絶対で至上命令だった.
- 彼は GHQ の指令で公職を追放された.
- BBQのために肉を串刺しにする
- QE2は明日、サウサンプトンに向けて出帆するだろう
Weblio日本語例文用例辞書はプログラムで機械的に例文を生成しているため、不適切な項目が含まれていることもあります。ご了承くださいませ。
- JIS Q 27002のページへのリンク
