特集 ISOとは何か 新入社員のためのISOガイド2006
ISO27000シリーズとは
ISO27000(ISMS基本及び用語)
規格の原則や規格間の関係などを体系化するもので、2006年5月をめどに規格化の作業中である。基本ドキュメント(ベースライン)はMICTS-1の一部が流用される。MICTSはManagement of ICT Security、すなわち情報通信技術セキュリティマネジメントを意味し、ISO13335、TRX0036でTR(Technical Report:技術報告書)として発行されているGMITS(Guidelines for the Management of IT Security:セキュリティマネジメントに関するガイドライン)Part1(ITセキュリティの概念及びモデル)、Part2(ITセキュリティの管理及び計画)を再編成したものである。
ISO27002(実践規範)
ISO27002の「管理目的及び管理策」はISO27001の「附属書A」と同一内容だが、27001が「実施しなければならない(shall)」要求事項と管理策であるのに対し、27002はガイドラインであるため、管理分野ごとに「実施すべき(should)情報セキュリティマネジメントの導入、実施、維持、改善の指針・原則」であり、詳細管理策作成時の実施の手引きとなる。
なおISO27002は2005年6月15日に発行されたISO17799:2005が2007年4月から改名されるものである。ISO 17799:2000の日本語版はJISX 5080:2002だが、ISO17799:2005は日本語化されていない。ISO27002: 2007よりも1年早く発行されるJISQ27002:2006(ISO27002:2007と内容は同じ)はISO17799:2005の和訳である。
ISO 27003(実施の手引き)
PDCAプロセスにかかわる詳細な助言、ISMSスコープのポリシー作成、情報資産特定手法や、経営陣に情報セキュリティ業務の費用・経営資源について理解を与えるための情報、専門家の採用・教育、アクセス能力や追跡可能性などのガイドラインである。現在2007年以降のISO化作業中である。
ISO27004(測定)
ISMSがどの程度効果的に実施されているかについて管理策の有効性を測定するガイドライン。現在2007年以降のISO化作業中である。パフォーマンスターゲットや測定とは何か、いつ、どのように測定するかが明示されている。
ISO27005(リスクマネジメント)
内容はMICTS-2(ISO13335-2)であり、現在2007年以降のISO化作業中である。このMICTS-2はGMITS のPart3(ITセキュリティの管理の技術)、Part4(セーフガードの選択)のマージ版であり、ICTセキュリティのためのリスクマネジメント手法が記述されている。
ISO27006(審査登録機関に対する要求事項)
ISO27001にかかわる審査登録機関の国際的な認定基準及び指針。2006年中に発行予定のマネジメントシステム審査登録機関に対する要求事項(ISO17021)と欧州認定協力機構の指針EA-7/03を基に開発され、2006年10~11月発行予定。
■ISOと和訳
<アイソムズ 2006年4月号掲載>
