|
ISO/IEC 27002 は、国際標準化機構 (ISO) と 国際電気標準会議 (IEC) が共同で策定した、企業などの組織における情報セキュリティマネジメントシステムの仕様を定めた規格。規格の名称は "Code of practice for information security management"。日本語訳は、日本工業規格 JIS Q 27002「情報セキュリティマネジメントの実践のための規範」である。情報セキュリティ管理のベストプラクティスの実施要項(規範)を提供する。 規格の正式名称は次のとおり。 * ISO/IEC 27002 Information technology -- Security techniques -- Code of practice for information security management * JIS Q 27002 情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントの実践のための規範 == 概要 == 導入部の後、規格は次の12の主要な章から構成されている。 # リスクアセスメントおよびリスク対応 # セキュリティ基本方針 ― 管理方針 # 情報セキュリティのための組織 ― 情報セキュリティのガバナンス # 資産の管理 ― 情報資産の目録と分類 # 人的資源のセキュリティ ― 従業員の雇用/異動/解雇に伴うセキュリティ # 物理的及び環境的セキュリティ ― コンピュータ機器の保護 # 通信及び運用管理 ― システムおよびネットワークにおける技術的セキュリティの管理 # アクセス制御 ― ネットワーク/システム/アプリケーション/機能やデータへのアクセス権制限 # 情報システムの取得、開発及び保守 ― アプリケーションへのセキュリティ組込み # 情報セキュリティインシデントの管理 ― 違反の予測と、違反に対する適切な対処 # 事業継続管理 ― 業務上の重要なプロセスとシステムを保護し、保守し、復旧する # 順守 ― 情報セキュリティポリシー/規格/法律/規定の順守の徹底 各章の中で、情報セキュリティ制御とその目的が述べられている。情報セキュリティ制御は、一般にそれらの目的を達成するベストプラクティスの手段と見なされる。各制御について、実施要項が提供されている。個々の制御が必須というわけではない。 * 各組織は、固有の状況に適切な制御を選択する前に、その特定の要求を決定するため、構造化された情報セキュリティ・リスクアセスメント・プロセスを実施することが期待されている。導入部にはリスクアセスメント・プロセスの概要も書かれているが、その部分をカバーする別の標準として ISO Technical Report TR 13335 GMITS Part 3 - Guidelines for the management of IT security - Security Techniques や BS 7799-3 (ISO/IEC 27005) などがある。 * 汎用的な規格で、考えられるあらゆる制御をリストアップするのは、事実上不可能である。ISO/IEC 27001 と 27002 の個別の産業分野に関する手引きとして、通信業、金融サービス業、医療関係などの各種産業向けの手引き作成が予定されている。 抄文引用元・出典: フリー百科事典『 ウィキペディア(Wikipedia)』 ■ウィキペディアで「ISO/IEC 27002」の詳細全文を読む 英語版ウィキペディアに対照対訳語「 ISO/IEC 27002 」があります。 スポンサード リンク
|