IS0 27000シリーズ 情報セキュリティ マネジメントシステム規格解説

ISO27000て何?

・情報セキュリティに関する「管理の仕組」のことです。
・重要な情報を様々な危険から守る為、会社、組織のルールを決め実行する仕組みです。

- 仕組み -
 情報セキュリティマネジメント(ISMS)の確立、導入、運用、監視、レビュー、維持及び改善するためのモデルの提供を目的とする。
PDCAサイクルの採用


ISO/IEC27000シリーズ

27001 要求事項    27002 実践規範    27003 実施の手引き
27000 Overview&vocabulary   27004 ISMS measurement   27005 リスクマネジメント


JIS Q 27001/(ISO/IEC 27001) ISMS要求事項

ISO/IEC27001 2005年10月15日にISO発行
BS版も発行、BS7799Part2:2002が廃版
JIS Q 27001 2006年5月20日官報公示
JIPDEC 認証基準Ver2.0から1年半かけて移行


ISO/IEC 17799:2005 実践規範

ISO/IEC 17799:2005(2版) 2005年6月15日に発行
2007年4月にISO/IEC17799は、ISO/IEC27002へ
番号変更予定
ISO/IEC27001 2005年10月16日にISO発行
BS版も発行、BS7799Part2:2003が廃版



ISMS要求事項とは

情報セキュリティマネジメントシステム(3.7)
 マネジメントシステム全体の中で、事業リスクに対する取組み方に基づいて、情報セキュリティの確立、導入、運用、監視、レビュー、維持及び改善を担う部分

情報セキュリティ(3.4)
 情報の機密性、完全性及び可用性を維持する事(CIA)さらに、真正性、責任追及性、否認防止及び信頼性のような特性を維持する事も含めても良い

機密性(3.3)
 許可されいない個人、エンティティ又はプロセスに対して、情報を使用不可又は非公開にする特性

安全性(3.8)
 資産の正確性及び完全性を保護する特性

可用性(3.2)
 許可されたエンティティが要求した時に、アクセス及び使用が可能な特性


ISMS要求事項の構成

箇条 4 情報セキュリティマネジメント
箇条 5 経営陣の責任
箇条 6 ISMS内部監査
箇条 7 ISMSのマネジメントレビュー
箇条 8 ISMSの改善

箇条 4はISMSのプロセス/活動全体について要求事項をPDCAモデルに沿った総括的に規定している。
ISMSに固有な内容を含んだ規定が多い
箇条 5から8までは箇条4で規定した事項の中で具体化・詳細化する必要があるものを取り上げている。
JISQ9001の中にある規定と構成・内容の両面で共通点が多い。


ISO/IECの制定の要点

規格構成の変更点
  内部監査の箇条が独立した
  BS7799-2のAnnex B(規格の使用のためのガイド)は削除された
  Annexの管理目的および管理策について大幅に改訂された      (管理策124項目→133項目)

規格本文の主な変更点
  用語の定義ー情報セキュリティの定義の変更(TR Q 0008)の定義の導入
  PDCAサイクルの要求事項の明確化
  ”管理策の有効性の測定”の導入


ISMS認証制度の移行日程

ISMS認証制度の移行日程


ISO化に伴う体制の移行

ISO化に伴う体制の移行:旧
            現体制では以下になります。
ISO化に伴う体制の移行:旧

移行後の体制(2007/4)
財団法人日本規格協会    品質システム審査員評価登録センター
4/1日より名称変更    マネジメントシステム審査員評価登録センター


脅威/脆弱性とは

□ 脅威 資産に損失・障害をもたらす不足の事態の潜在的原因を指す
人間 環境
意図的(外部/内部) 偶発的(一時的/永続)  
盗聴(スパイ)改竄 誤り及び手落ち 地震
システムのハッキング ファイルの削除 落雷
悪意あるコード 物理的事故 洪水
盗聴 オペミス 火災
ソーシャルエンジニアリング   鼠害

□ 脆弱性 資産に損失・障害をもたらす不足の事態の潜在的原因を指す
- 例 バグ、運用管理の不備、複雑な操作、災害に弱い建築、教育訓練の不足、
    契約書の不備、余裕のないシステム
資産分類 例示
情報 データベース及びデータファイル、契約書及び同意書、システムに関する文書、調査報告、利用者マニュアル、訓練資料、運用手順、監査証跡、保存情報
ソフトウエア資産 業務用ソフトウエア、システムソフトウエア、開発ツール、ユーティティ
物理的資産 コンピュータ装置、通信装置、取外し可能媒体、その他の装置
サービス 計算処理および通信サービス、一般ユーテリティ(暖房、照明、電源、空調)
保有する資格・技能・経験
無形資産 組織の評判・イメージ


リスクアセスメントのプロセス

□ 取り組み方法の特定
・リスクアセスメント方法の特定
・リスク受容基準の特定

□ リスクの特定
・資産に対する脅威の明確化
・脅威を利用される脆弱性を明確化
・機密性、完全性、可用性の喪失が資産に及ぼす影響を明確化

□ リスク分析・評価
・セキュリティ障害に起因する事業上の損害を評価
・脅威脆弱性の観点からセキュリティ障害の発生可能性、資産に関する影響(既存管理策を考慮)
・リスクのレベルを算出
・リスクの評価

- 例 -
脅威のレベル 低い(0)、高い(1)
脆弱性のレベル 低いレベルの脅威に対するセキュリティが損なわれる確率: 低い(0)、高い(1)
高いレベルの脅威に対するセキュリティが損なわれる確率: 低い(0)、高い(1)
資産価値のレベル 低い(0)、高い(1)

  脅威のレベル 低 0 高 1
脆弱性のレベル 低 0 高 1 低 0 高 1
資産の価値 低い価値 0 0 1 2 3
高い価値 1 1 2 3 4


リスク対応のプロセス

□ リスク対応の選択
・リスクの最適化(管理策の採用する)
・リスクの移転(リスクを他者に移転する)
・リスクの回避(脅威の発生原因を停止又は消滅する)
・リスクの保有(損失の負担又は利得の恩恵に受容する)

□ リスクの最適化(低減)
・管理策(ISO27001-ANNEX、ISO27002)の選択
・適用宣言書を作成

リスクアセスメントより


情報セキュリティに関する規格のページへ

無料相談受付中! 詳しくは下記バナーもしくはお問合わせページから

JIS Q 15001 又は ISO 27001(JIS Q 27001)
指導内容:
第3者認証取得までの企業内の情報セキュリティシステムの構築のための現地調査、教育、マニュアル、各種規定類の作成支援、内部監査、情報機器類のセキュリティ対策、受審対策等の指導をお引き受けします。


技術士による確かなコンサルティング! まずはご相談下さい。

  コンサルティング費用一覧表
  ISO認証取得 コンサルティングスケジュールの事例
  当センターの特徴            TOPへもどる