要約
企業等が事業リスク全般を考慮して、情報セキュリティに関する文書化したマネジメントシステムを確立、導入、運用、監視、レビュー、維持及び改善するための要求事項を規定している。また、組織のニーズに応じてセキュリティ管理策を選択・導入するための要求事項を定めている。管理策は11の領域で定められている。この規格は2013年版で、マネジメントシステムの共通化を図った上位構造(HLS:High Level Structure)に従い、構造が再整理されている。それによって、業務プロセスへの統合、目的と計画の策定、パフォーマンスの継続的評価がより強調された。。
特徴
- 近年の情報セキュリティへの関心の高まりを反映している。
- マネジメントシステム規格であるが、情報技術分野にフォーカスして定められており、制定の主体は、ISOとIECの情報技術に関する合同技術委員会JTC1である。
- マネジメント面からの標準化であるため、製品やシステムに対するセキュリティの評価基準であるコモンクライテリア(JIS X 15408)とアプローチ等で対照をなしている。
- ファミリー規格として分野別指針が、組織間コミュニティ向け(27010)、通信分野向け(207011)、金融サービス向け(27015)クラウドコンピューティング向け(27017)などが順次追加されている。
- 2013年版では、2005年版で133あった管理策が114に減少しているが、内容としては同等以上であり、プロジェクトの情報セキュリティ、供給者への情報セキュリティ対応などが追加されている。
規格閲覧先:JIS版 日本工業標準調査会:JISC
<http://www.jisc.go.jp/>
※「JIS検索」で「Q27001」を検索
公開元
http://www.webstore.jsa.or.jp/
(日本規格協会(JSA)の検索トップページから規格番号で検索して下さい。)
(2016年8月)