第６章　認証取得を目指す組織が参考とすべき対策方針、対策基準

　情報セキュリティのための国際規格としては、ISO27000シリーズがあります。

　情報セキュリティマネジメントシステム(Information Security Management System 以降ISMS）を構築・運用し、継続的に改善するための規格 ISO27001は、組織のISMSを認証するための要求事項が示されています。組織はこの要求事項に準じたマネジメントシステムを構築することで規格の認証を受けることが可能になっており、ISO27000ファミリーの中でもこの規格が中核を成す存在となっています。ISMSの認証を得ることを「ISO27001を取得する」と表現するのは、このISO27001が規格の要求事項であるためです。ISO27001の他に以下の規格があります。

<<ISO27000>>

　ISMS規格についての概要や規格要求事項の中に出てくる基本的な用語集が示されています。

<<ISO27002>>

　 ISO27002は、ISO27001にて示されている要求事項をもとにより具体的な情報セキュリティマネジメントの管理策を示した規格です。日本語訳では「情報セキュリティマネジメントの実践のための規範」となっています。ISO27001の附属書Aに書かれている、管理策を組織の中でどのように実施するのか検討する際に、このISO27002を読むと、具体的な実施方法が書かれています。ISO27001の附属書Aでも情報セキュリティマネジメントの具体的な管理策が示されていますが、附属書Aに示されている管理策が114種類であるのに対してISO27002（JIS Q 27002）では1000近くの実施方法が記載されています。もちろん、この1000近くの管理策を参考にISMSを運用するのが理想的ですが、全てを実践することは非常に大変です。実際に管理策を実践するかどうかについては、自社の情報セキュリティリスクレベルを鑑みて、場合によってはコンサルタントに相談して実践するのがいいでしょう。

<<ISO27003>>

  ISO27003はISMS実施の手引きとなっており、ISO27001の要求事項に従って構築したISMSを組織で実施するためのガイドのような役割を持っています。

 

 

 

 

出所:NSSホールディングス株式会社ウェブサイト　https://activation-service.jp/iso/column/2216

​

​