ISO27000とは?27000ファミリー規格は万全の情報セキュリティ構築をサポート

ISO27000とは?27000ファミリー規格は万全の情報セキュリティ構築をサポート ISMS・ISO27001

ISO27001は情報セキュリティマネジメントシステム(Information Security Management System,ISMSと略)の認証規格として、近年取得する企業が増えています。情報セキュリティに関連するISO規格は、このほかにも約50種類の規格があって、ISO27000シリーズ規格とかISO27000ファミリー規格と呼ばれています。

情報セキュリティ技術の進歩には目覚ましいものがあって、ISO27001などの要求事項を規定する規格や、その運用をサポートするガイドライン規格などがISO27000ファミリー規格として制・改訂され提供されています。

これらのISO27000ファミリー規格の概要を把握することで、ISO27001に代表される情報セキュリティマネジメントシステムの運用を効果的に進めることができます。この記事では、ISO27000ファミリー規格への理解をすすめるために次のような事項を中心にして解説します。

  • ISO27000シリーズ制定の経緯
  • ISO27000ファミリー規格の分類
  • 主要なファミリー規格の内容

ISO27001の管理責任者や事務局の方、これからISO27001の認証取得を検討している企業の方などに、ぜひ参考にしていただきたい内容です。

ISO27000シリーズ制定の経緯

ISOのマネジメントシステム規格では品質のISO9001が先駆けとなって1987年に制定され、次いで環境のISO14001が9年後の1996年に制定されました。情報セキュリティのマネジメントシステム規格ISO27001が制定されたのはさらに9年後の2005年です。

2019年のデータですが、日本で認証登録されている組織数は、品質のISO9001が約43,000、環境のISO14001が約23,000で、情報セキュリティのISO27001は約6,600で3番手になっています。ただ、品質や環境の認証登録組織数が年々減少しているのに対して、ISO27001は増加傾向が続いていてこの規格の有用性が示されています。

このような規格、ISO27001を中心とした情報セキュリティの規格がISOで制定された経緯を振り返ってみましょう。

BS(英国規格)がさきがけ

電子的にプログラム可能なコンピュータが出現したのは1943年と言われています。それ以降、コンピュータを中核とする情報化社会は想像を超えるスピードで進化してきました。

その過程で、パソコンの普及やインターネット網の発展などで膨大な情報を管理するためのプロセスも進化しました。セキュリティも重要な課題になり、情報の漏洩やダメージなど様々なリスクを管理するための方針や手順が、BSI (英国規格協会)によってBS7799-2(情報セキュリティマネジメントシステム-仕様及び利用の手引き)という規格として初めて制定されました。

BS7799-2は1999年に制定され、2002年に改訂された後、2005年にさらに見直しがされISOからISO27001として発行されました。

BS(英国規格)は、日本のJIS規格と同じような国家規格で、ドイツのDIN規格やアメリカのASTM規格などと並んで世界で広く活用されています。ISO27001だけでなく、ISO9001はBS5750、ISO14001はBS7750が基本の規格になっています。

ISOとIECの関係は

ここでは便宜上ISO27001と表記していますが、ISO/IEC27001が正式の規格番号です。IEC(International Electrotechnical Commission)は国際電気標準会議のことで、電気や電子技術分野などの国際規格を作成している国際標準化機関です。ISO/IECはISOとIECが合同で制定した規格であることを示しています。

ISOはすべての産業分野をカバーしているわけではなく、電気・通信および電子技術分野などの国際規格はIECと合同で制定しています。ISOの発足が1947年で、IECが1906年の発足です。IECはISOよりも古くから多くの電気系国際規格の実績があることもあり、電気系の国際規格についてはISOとIECが合同で制定しています。

ISO27000ファミリー規格はあらゆる情報セキュリティ分野へ

ISO27001は情報セキュリティマネジメントシステムの要求事項を規定していますので、対象となる業界はWEB系企業やIT企業が主体と考えがちです。しかし、現在では情報と無縁の業界や分野などはありえません。あらゆる業界、分野で情報のセキュリティ管理などの導入が必要な時代になっています。

WEBやIT企業の他、セキュリティ会社やイベント会社、販売業、人材派遣業などを中心にISO27001の認証取得が進んでいます。ISO27000ファミリー規格も、電気通信組織やクラウドサービス、エネルギー業界向けなど個別セクター向けの規格も制定されていて、業界対応への取組みがみられます。

ISO27000ファミリー規格には、情報セキュリティマネジメントシステムに関する様々なガイドラインを示した規格も含まれています。どのような業界、業種であっても、その組織に適した情報セキュリティのマネジメントシステムが構築できるでしょう。ISO27001の認証取得を検討されているのであれば、コンサルタント会社などに相談してみることもお勧めします。

ISO認証取得のコンサルタントの支援内容、選び方、費用感など詳細はこちらをご参考ください。【ISOのコンサル会社がサポートする内容は?コンサルタントを活用してISOを取得・運用する背景

ISO27000ファミリー規格の個別の内容

ISO27000ファミリー規格はISO27000:2018で次の4種類に分類されると定義されています。

  • ISMS(情報セキュリティマネジメントシステム)およびISMSを認証する機関に対する要求事項を規定する規格
  • ISMSを確立し、実施し、維持し、改善するためのプロセス全体に関する直接的な支援、詳細な手引および/又は解釈を提供する規格
  • ISMSに関する分野固有の指針を取り扱う規格
  • ISMSに関する適合性評価を取り扱う規格

では、ISO27000ファミリー規格の個別の内容をみてみましょう。

要求事項を規定する規格

ISMSの要求事項を規定したISO27001と、認証機関の要求事項を定めたISO27006があります。

ISO27001:2013(JIS Q27001)情報セキュリティマネジメントシステムの要求事項

ISO27000ファミリー規格の中核となる規格で良く周知されているので詳細を省きますが、附属書Aに示された管理目的と管理策には参考になる点が数多く含まれています。

ISO27006:2015(JIS Q27006)ISMSの審査および認証を行う機関に対する要求事項

マネジメントシステムの認証機関に対してはISO17021-1が規定されていますが、ISMSの認証機関に対してはさらにこのISO27006が要求されています。

運用のためのガイドラインを提供する規格

ISO27001のISMSを効果的に運用するためのガイドラインを提供する規格もファミリー規格として制定されています。

ISO27000:2018(JIS Q27000)ISMSでの用語の定義

ファミリー規格の制・改訂に対応して2年など短期間でマイナーな改訂が行われています。

ISO27002:2013(JIS Q27002)情報セキュリティ管理策の実践のための規範

ISMSを運用するための管理策や実施の手引きが、ISO27001の細部項目までにわたって示されています。ISO27001の附属書Aの管理策とも整合がとれていて、かつより豊富な管理策が示されています。

ISO27003:2017 ISO27001に規定するISMSの要求事項に対するガイダンス規格

ISO27001の構成に沿って、要求される活動の解説やガイダンス、関連情報などが示されています。

ISO27004:2016 監視、測定、分析および評価のガイダンス

ISO27001の「9.1監視、測定、分析及び評価」の要求事項を満たすために、情報セキュリティのパフォーマンスとISMSの有効性の評価を支援することを目的としたガイダンス規格です。

ISO27005:2018 情報セキュリティのリスクマネジメントに関するガイドライン

情報セキュリティのリスク管理プロセスに関わる作業や手順をガイドラインとして提示しています。

ISO27007:2017 ISMS監査に関するガイドライン

マネジメントシステム監査の指針についてはISO19011がありますが、この規格はそれに加えてISMS固有のガイダンスを提供しています。

個別分野の指針を示す規格

個別の産業や分野についての指針を示すファミリー規格も数多く策定されています。主な規格の番号と表題の要約を以下に示します。

ISO27011 電気通信組織のための指針

ISO27017 クラウドサービスの情報セキュリティ管理策

ISO27019 エネルギー業界のための情報セキュリティ管理策

ISO27030 IoTにおけるセキュリティとプライバシーに関するガイドライン

ISO27032 サイバーセキュリティのガイドライン

ISO27033 ネットワークセキュリティの標準化

ISO27034 アプリケーションセキュリティのガイドライン

他にもまだ数多くの規格があります。(財)日本情報経済社会推進協会で、最新のISO27000ファミリー規格の動向を紹介しているので参考にすると良いでしょう。

https://www.jipdec.or.jp/smpo/u71kba000000jjgv-att/27000family_20200610.pdf

まとめ

情報セキュリティマネジメントシステムの規格ISO27001が制定されたのは2005年です。それ以降ISO27001を補完しサポートするISO27000ファミリー規格が数多く制改訂されました。

情報社会の発展に伴って今や情報媒体と無関係の産業など考えられません。どのような業界、分野でも情報のセキュリティ管理の導入が必要な時代になっています。

ISO27001の認証取得を検討しているのであれば、ISO27000ファミリー規格で関連しそうな規格はチェックしておいたほうが良いでしょう。経験豊富なコンサルティング会社などに相談することもお勧めします。

ISOナビでは月額4万円から取得・運用を完全サポートしております。

HACCPやISMS、Pマーク、ISO9001をはじめとする各種規格の新規の認証取得から更新・運用までサポートしております。

業界最安級の月額4万円からご利用いただけ、対応工数のゼロ化を実現します。

まずは無料相談からお気軽にお問い合わせください。

この記事を書いたライター
hikaruta

ISO9001:94年版での認証取得に関わって以来、ISO14001や医療機器品質のISO13485の認証取得・運用に深く携わり、ISOに翻弄、鍛えられたビジネスライフを経験。一線を退き、反省なども込めてISOを見つめ直しています。

hikarutaをフォローする
ISMS・ISO27001
ISOナビ
トップへ戻る
タイトルとURLをコピーしました