情報セキュリティマネジメントシステム
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2024/04/16 14:40 UTC 版)
標準化の流れ
BSI(英国規格協会)によって1995年に規定された英国規格 BS 7799が基となって、ISMSの構築のしかたの標準化が進んだ。BS 7799は、Part 1 (BS 7799-1) とPart 2 (BS 7799-2) の2部構成になった。Part 1には情報セキュリティ管理を実施するに際しての規約の標準が、Part 2にはISMSの認定の基準となる要求仕様が書かれていた。日本の「ISMS認証基準」はPart 2を基に策定された(これは現在 JIS Q 27001 になっている)。なお、ISMSという用語は、BS 7799から来ている。
BS 7799は、国際規格になった。BS 7799-1は、2000年にISO/IEC 17799となり(これに伴ってBS 7799-1はBS ISO/IEC 27002となった)、2007年にはISO/IEC 27002:2005と改称された。BS 7799-2も、2005年にISO/IEC 27001となっている。
それらは翻訳されて、日本産業規格にもなっている。2006年に、ISO/IEC 27001はJIS Q 27001として、ISO/IEC 27002はJIS Q 27002として策定された。
英国規格 | 国際規格 | 日本産業規格 | 備考 |
---|---|---|---|
BS 7799-2 | ISO/IEC 27001 | JIS Q 27001 | ISMS 要求事項 |
BS 7799-1 ↓ BS ISO/IEC 27002 |
ISO/IEC 17799 ↓ ISO/IEC 27002 |
JIS X 5080 ↓ JIS Q 27002 |
ISM 実践のための規範 |
これらのほかにも、関連する規格として ISO/IEC 27000, 27003~27006, 27011 があり、さらにいくつかの部が準備中である(ISO/IEC 27000 シリーズ)。
- ^ JIS Q 27000:2014 箇条 0.1。
- ^ JIS Q 27002:2014 箇条 0.1。
- ^ ISMSガイド13, p. 13。
- ^ a b c ISMSガイド13, p. 3, 4, 10, 97。
- ^ MSS。
- ^ JIS Q 31000:2010 箇条 2.1、JIS Q 27000:2014 箇条 2.68。
- ^ a b JIS Q 27000:2014 箇条 2.68。
- ^ 原田(2016) p. 3。
- ^ JIS Q 0073:2010 箇条 3.5。
- ^ ISMSガイド13, p. 51。
- ^ JIS Q 13335-1 箇条 2.25、JIS Q 27000:2014 箇条 2.83。
- ^ JIS Q 27005:2011、JIS Q 13335-1 箇条 3.3、ISMSガイド13, p. 35。
- ^ JIS Q 27000:2014 箇条 2.89。
- ^ a b c d e f g h i j k l m n JIS Q 27001:2014 箇条 6.1.2、6.1.3。
- ^ ISMSガイド13, p. 30。
- ^ a b JIS Q 27000:2014 箇条 2.79。
- ^ JIS Q 27000:2014 箇条 2.35。
- ^ JIS Q 27000:2014 箇条 2.36。
- ^ JIS Q 27000:2014 箇条 2.37。
- ^ JIS Q 27000:2014 箇条 2.34。
- ^ a b JIS Q 27001:2014 箇条 5。
- ^ JIS Q 27001:2014 箇条 6。
- ^ JIS Q 27001:2014 箇条 7。
- ^ JIS Q 27001:2014 箇条 8。
- ^ JIS Q 27001:2014 箇条 9。
- ^ JIS Q 27001:2014 箇条 10。
- ^ a b c JIS Q 27000:2014 箇条 2.61、JIS Q 27001:2006 箇条 0.2、ISMSガイド06, p. 9、ISMSガイド13, p. 13。
- ^ ISMSガイド06, p. 7。
- ^ a b ISMSガイド13, p. 14。
- ^ a b mss-faq 11. 「附属書 SL の構造において“プロセスモデル”又は“PDCA モデル”が使われていないのはなぜか」
- ^ MSS SL.5.2 注記1「有効なマネジメントシステムは、通常、意図した成果を達成するために"Plan-Do-Check-Act"のアプローチを用いた組織のプロセス管理を基盤とする」
- ^ JIS Q 27000:2014 箇条 2.84。
- ^ a b JIS Q 27001:2014 箇条 5.1。
- ^ JIS Q 27001:2014 箇条 5.3。
- ^ a b c ISMSガイド13, pp. 43-44。
- ^ JIS Q 27000:2014 箇条 4.1。
- ^ JIS Q 27000:2014 箇条 4.2。
- ^ a b JIS Q 27001:2014 箇条 4.2。
- ^ JIS Q 27001:2014 箇条 5.1、JIS Q 27002:2014 箇条 5.1。
- ^ a b JIS Q 27001:2014 箇条 5.2。
- ^ a b c d e JIS Q 27002:2014 箇条 5.1。
- ^ ISMSガイド13, p. 40。
- ^ a b c JIS Q 27001:2014 箇条 6.2。
- ^ a b c d e f g h 情報セキュリティマネジメントとPDCAサイクル「情報セキュリティポリシーの策定」 IPA。2016年8月3日閲覧
- ^ a b c d e f 情報セキュリティポリシーサンプル改版(1.0版)概要(pdf)、pp. 5-6、JIPDEC。2016年8月3日閲覧。
- ^ ISMSリスク編13, p. 4。
- ^ JIS Q 27000:2014 箇条 2.76、JIS Q 31000:2010 箇条 2.2。
- ^ a b JIS Q 31000:2010 箇条 2.3。
- ^ リスクマネジメント規格 図1。
- ^ JIS Q 31000:2010 箇条 5.3。
- ^ JIS Q 31000:2010 箇条 2.25。
- ^ a b JIS Q 31000:2010 箇条 2.28。
- ^ JIS Q 31000:2010 箇条 2.14、2.15、2.24。JIS Q 27000:2014 箇条 2.71。
- ^ JIS Q 27000:2014 箇条 2.75。
- ^ JIS Q 27000:2014 箇条 2.70。
- ^ JIS Q 27000:2014 箇条 2.73。
- ^ JIS Q 27000:2014 箇条 2.74。
- ^ ISMSリスク編13, pp. 23-24。
- ^ ISMSリスク編13, p. 30。
- ^ ISMSリスク編13 p. 31。
- ^ a b JIS Q 27002:2014 箇条 8.1.1。
- ^ ISMSリスク編13, p. 35。
- ^ ISMSリスク編13, pp. 50-51。
- ^ JIS Q 27000:2014 箇条 2.69。
- ^ ISMSリスク編13 pp. 52-54。
- ^ JIS Q 27000:2014 箇条 2.16。
- ^ a b ISMSリスク編13, p. 57。
- ^ ISMSガイド13, p. 23。
- ^ a b c d e “情報セキュリティマネジメントとPDCAサイクル「リスクアセスメント」”. IPA. 2017年7月5日閲覧。
- ^ a b c d e f ISMSリスク編13, p. 14。
- ^ a b c d 瀬戸洋一. “プライバシー影響評価ガイドライン実践テキスト”. インプレスr&d. p. 14. 2017年7月5日閲覧。
- 情報セキュリティマネジメントシステムのページへのリンク