ISO/IEC ファミリー規格の最新動向 ISO/IEC JTC1/SC27 WG1 小委員会主査 ( 株式会社日立製作所 ) 相羽律子 Copyright (c) Japan ISMS User Group

Similar documents
27000family_ docx

Microsoft Word family_ rv.docx

ISO/IEC27000ファミリーについて

ISO/IEC 27000ファミリーについて

Microsoft Word HPコンテンツ案 _履歴なし_.doc

ISO/IEC 27000family 作成の進捗状況

規格の概要前図の 作成中 及び 発行済 ( 改訂中 含む ) 規格の概要は 以下の通りです O/IEC 27000:2012 Information technology Security techniques Information security management systems Over

ISO/IEC 27000ファミリーについて

27000family_

ISO/IEC 27000ファミリーについて

ISO/IEC 27000ファミリーについて

ISO/IEC ファミリーについて 2009 年 8 月 4 日 1. ISO/IEC ファミリーとは ISO/IEC ファミリーは 情報セキュリティマネジメントシステム (ISMS) に関する国際規格であり ISO( 国際標準化機構 ) 及び IEC( 国際電気

Microsoft Word - 【履歴なし】27000HPコンテンツ案 doc

<4D F736F F F696E74202D A8E5289BA5F4A4E E D FEE95F1835A834C A AA96EC82CC8D918DDB95578F8082CC93AE8CFC2E >

Information Security Management System ISMS Copyright JIPDEC ISMS,

JISQ 原案(本体)

Microsoft PowerPoint - 第6章_要員の認証(事務局;110523;公開版) [互換モード]

セキュリティ委員会活動報告

Copyright Compita Japan ISO33k シリーズとは? これまで使用されてきたプロセスアセスメント標準 (ISO/IEC 本稿では以降 ISO15504 と略称する ) は 2006 年に基本セットが完成し 既に 8 年以上が経過しています ISO

3-2 環境マネジメント規格の制定・改訂の動き

Information Security Management System ISO/IEC 27001:2005 ISMS A Copyright JIPDEC ISMS,

橡セキュリティポリシー雛形策定に関する調査報告書

Information Security Management System 説明資料 2-2 ISMS 適合性評価制度の概要 一般財団法人日本情報経済社会推進協会情報マネジメント推進センター副センター長高取敏夫 2011 年 9 月 7 日

ISO/IEC 改版での変更点

ビジネスにおける適合性評価の活用

JIS Q 27001:2014への移行に関する説明会 資料1

情報分野のアクセシビリティ標準について

Microsoft PowerPoint  講演資料.pptx

5005-toku3.indd

001†`032 (Page 1)

CCM (Cloud Control Matrix) の役割と使い方

Microsoft Word - JIS_Q_27002_.\...doc

ISMS認証機関認定基準及び指針

PowerPoint プレゼンテーション

ISO 9001:2015 改定セミナー (JIS Q 9001:2015 準拠 ) 第 4.2 版 株式会社 TBC ソリューションズ プログラム 年版改定の概要 年版の6 大重点ポイントと対策 年版と2008 年版の相違 年版への移行の実務

情報処理学会研究報告 IPSJ SIG Technical Report Vol.2015-IS-131 No /3/6 ISMS 関連国際規格における用語定義に関する一考察 永井好和 多田村克己 小河原加久治 情報セキュリティマネジメントシステム (Information Securi

ISO/TC176/SC2/N1291 品質マネジメントシステム規格国内委員会参考訳 ISO 9001:2015 実施の手引 目次 1.0 序文 2.0 ISO 9001:2015 改訂プロセスの背景 3.0 ユーザグループ 4.0 実施の手引 4.1 一般的な手引 4.2 ユーザグループのための具

Japanese.PDF

Contents 1

PowerPoint プレゼンテーション

Contents 0. 導入 : リスクとは? 1. リスクマネジメントの国際標準 - ISO (JIS Q 31000), ISO Guide 73 (JIS Q 0073) 他 2. 情報セキュリティマネジメント (ISM) の国際標準とリスクマネジメント - ISO/IEC 270

2011 ST講座 入門講座 DICOM規格 初級 –DICOMをうまく使いこなす-

<4D F736F F F696E74202D208E8E8CB18F8A944692E88D918DDB93AE8CFC E616C E B8CDD8AB B83685D>

2011年度システム監査用語研究プロジェクト報告

統合化の概要次回の改訂時迄には ISO D Guide83 に沿って整合性を図った 要求事項の定義 要求事項タイトル 要求事項の順番 そして定期的な適切性や妥当性有効性等の強化を含む見直しによって追加補充や変更点への対応を含めた対応が必要とされるが 統合化の構成の概要は 以下の通りススムパートナーズ

IAF-MD 3:2008 ASRP

JIS Z 9001:1998JIS Z 9002:1998 ISO/IEC 17025ISO/IEC Guide 25

IAF 活動報告 公益財団法人日本適合性認定協会認定センター

Microsoft PowerPoint _tech_siryo4.pptx

制御システムセキュリティアセスメントサービス

文書管理番号

資料 欧米動向と国際標準化の現状 国立研究開発法人情報通信研究機構 (NICT) サイバーセキュリティ研究所主管研究員横浜国立大学客員教授内閣官房サイバーセキュリティ補佐官 中尾康二 1

Microsoft PowerPoint - A3② JaSST_MISRA2004ソースコード品質診断.ppt

ISO/IEC 27000シリーズ規格の概要

本文/YAZ172P

国際規格の動向について (ISO 22000の改訂状況)

Microsoft Word - RM最前線 doc

ISMSクラウドセキュリティ認証の概要

国立国会図書館ダブリンコアメタデータ記述

untitled

ISO の概要

スライド 1

PowerPoint プレゼンテーション

JAB の認定 ~ 最新情報 公益財団法人日本適合性認定協会認定センター

進化する ISMS ISMS 適合性評価制度の認証用基準 (ISO/IEC 27001) は 改定の度に進化している Ver. Ver. I

<4D F736F F F696E74202D E291AB8E9197BF A F82CC8A A390698DF42E707074>

「新電子教科書」における 著作権料の分配方法について

Ressourceneffizienz

HPIS

1 BCM BCM BCM BCM BCM BCMS

スライド 1

PowerPoint プレゼンテーション

スライド 1

プロジェクトマネジメント知識体系ガイド (PMBOK ガイド ) 第 6 版 訂正表 - 第 3 刷り 注 : 次の正誤表は PMBOK ガイド第 6 版 の第 1 刷りと第 2 刷りに関するものです 本 ( または PDF) の印刷部数を確認するには 著作権ページ ( 通知ページおよび目次の前 )

CIA+

参考資料 1 既存のセキュリティ 要求基準について ISO/IEC 27017:2015 ( クラウドサービスのための情報セキュリティ管理策の実践の規範 )

セキュリティJAHIS標準類解説概要 F2.pdf

Information Security Management System Occupational Health Environmental Management System and Safety Management System Quality Management System Food

PowerPoint プレゼンテーション

「新電子教科書」における 著作権料の分配方法について

1 情報セキュリティ評価について 情報セキュリティ対策ベンチマーク ISMS 適合性評価制度 情報セキュリティ監査は いずれも 組織が構築した情報セキュリティマネジメントを評価するものである 本項では これらの情報セキュリティ評価について その概要や特徴について述べる これら評価の準拠する規格は 情

再生材料や部品の利用促進を具体的に進めていることから その努力を示すものとして 本規格では マテリアルリサイクル及びリユースのみを対象としている 機器製造業者が直接その努力に関わるという 観点からも 本規格では 再生資源をマテリアルリサイクルのみに限定している Q5) 自らが資源循環利用をコントロー

122

ISO/IEC ISO/IEC 17020: 2012 JIS Q ILAC 2) ILAC P15:06/2014 Application of ISO/IEC 17020:2012 for the Accreditation of Inspection Bodies 20

JIP-IMAC a

目次 1. 一般 目的 適用範囲 参照文書 用語及び定義 内部監査 一般 内部監査における観点 内部監査の機会 監査室

スライド 1

Microsoft PowerPoint mitsuhashi.ppt [互換モード]

Microsoft PowerPoint - Map_WG_2010_03.ppt

目次序文 適用範囲 引用文書 用語と定義 一般要求事項 法的及び契約上の事項 法的責任 認証の合意 ライセンス, 認証書及び適合マークの使用... 5

untitled

IATF16949への移行審査

ASNITE 試験事業者認定の一般要求事項 (TERP21) ASNITE 校正事業者認定の一般要求事項 (CARP21) ASNITE 試験事業者 IT 認定の一般要求事項 (TIRP21) ASNITE 標準物質生産者認定の一般要求事項 (RMRP21) ASNITE 試験事業者認定の一般要求事

Taro12-認定-部門-ASG101-06

Copyright(C) 2002 Information-technology Promotion Agency, Japan All rights reserved. 1

【資料1-2】脳神経外科手術用ナビゲーションユニット基準案あ

要求仕様管理テンプレート仕様書

<4D F736F F D20939D8D87837D836A B B816996E BB8DEC8F8A816A F90BB8DEC E646F63>

ACR-C 保証継続報告書 独立行政法人情報処理推進機構原紙理事長藤江一正押印済変更 TOE 申請受付日 ( 受付番号 ) 平成 24 年 1 月 12 日 (IT 継続 2077) 認証番号 C0312 申請者コニカミノルタビジネステクノロジーズ株式会社 TOEの名称日本語名 :bi

JAB PD366:2017 認定の基準 についての分野別指針 - 風力発電システム : ウィンドファーム プロジェクト - JAB PD366:2017 第 2 版 :2017 年 9 月 27 日第 1 版 :2016 年 12 月 5 日 公益財団法人日本適合性認定協会 初版 :

Transcription:

ISO/IEC 27000 ファミリー規格の最新動向 2018-12-07 ISO/IEC JTC1/SC27 WG1 小委員会主査 ( 株式会社日立製作所 ) 相羽律子 1

目次 ISO/IEC 27000 ファミリー規格とは ISO/IEC JTC1/SC27/WG1 における規格化 の概況 ISO/IEC 27001 及び ISO/IEC 27002 の 改訂状況 サイバーセキュリティに関する規格開発 の本格化 その他の状況 2

ISO/IEC 27000 ファミリー規格とは 3

ISO/IEC 27000 ファミリー規格とは l 情報セキュリティマネジメントシステム (Information Security Management System: ISMS) に関する国際規格群 l ISMS 要求事項を規定する規格を軸に 次で構成される l その他の要求事項を規定する規格 l 用語を規定する規格 l ISMS の実施を支援する各種ガイドライン規格 l セクター固有のガイドライン規格 l サイバーセキュリティに関する規格他 l 規格の番号は 現時点では 27000 27040 番台及び 2710X 番台となっている l ISO/IEC JTC1/SC27 の主に WG1 で作成されている一部は WG4 及び WG5 でも作成されている 4

ISO/IEC 27000ファミリー規格とは 出典 ISO/IEC 27000ファミリーについて JIPDEC https://www.jipdec.or.jp/smpo/u71kba000000jjgv-att/27000family_20180620.pdf 5

標準化組織 (ISO/IEC JTC1/SC27) ISO 国際標準化機構 IEC 国際電気標準化会議 JTC1 情報技術 JTC2 エネルギー効率及び再生可能エネルギー源 - 共通用語 SC7 ソフトウェア技術 SC27 SC37 セキュリティ技術バイオメトリックス AG1: マネシ メントアト ハ イサ リク ルーフ SG1: テ ータセキュリティ SWG-T: 横断案件 WG1: 情報セキュリティマネシ メントシステム WG2: 暗号とセキュリティメカニス ム WG3: セキュリティ評価基準 WG4: セキュリティコントロールとサーヒ ス WG5: アイテ ンティティ管理とフ ライハ シー技術 図 1 ISO/IEC JTC1/SC27 の組織構造 6

ISO/IEC JTC1/SC27 l タイトル : IT Security techniques 変更について審議中 l 発行済み : 183 規格 l 開発中 : 61 規格 l メンバー国 : 51 カ国 l オブザーバーメンバー国 : 27 カ国 ( 上記数字は全て 2018-11-29 現在 ) l 会合 l ISO/IEC JTC1/SC27 会合 : 年 1 回 (2 日間 ) 春 (4 5 月 ) に 開催 l ISO/IEC JTC1/SC27/WGs 会合 : 年 2 回 ( 各 5 日間 ) 春 (4 5 月 ) と秋 (10 11 月 ) に開催 l 2018 年は 春は 4 月に武漢 ( 中国 ) 秋は 9 10 月にイエビク ( ノルウェー ) で開催 l 開発中規格のドラフト審議 新規格の提案などについて検討 7

ISO/IEC JTC1/SC27/WG1 WG1 l タイトル : Information Security Management System l 活動スコープ l 情報セキュリティマネジメントシステム (ISMS) に関する規格の開発 l マネジメントシステムに関する規格の開発 l ISO/IEC 27001 の要求事項を軸に この実装に関する規格 又は適合を支援する規格を開発するセキュリティ要求事項を捉えるための手法を示す規格の開発 8

2018 年発行の規格 l ISO/IEC 27000:2018 Information technology -- Security techniques -- Information security management systems -- Overview and vocabulary Ø 改訂 5 版 Ø ISO/IEC 27003, ISO/IEC 27004 の改訂などに伴い 掲載する用語に変更が生じたことに伴う改訂 Ø ISO/IEC 27001 及び ISO/IEC 27002 に関する用語については変更なし Ø JIS 化について : Ø ISO/IEC 27000:2018( 改訂 3 版 ) は JIS Q 27000:2014 として用語部分のみ JIS 化 Ø 改訂 4 版は 用語に変更がなかったため JIS 改訂は行われず Ø 改訂 5 版の JIS 化は現在作業中 来年発行予定 9

2018 年発行の規格 l ISO/IEC 27005:2018 Information technology -- Security techniques -- Information security risk management Ø 改訂 3 版 Ø 内容的には ISO/IEC 27001:2013 に合わせて編集上の修正を行ったのみ Ø 改訂 2 版と内容的な差は ほぼ無い Ø ISO/IEC 27001:2013 に本質的に適合した版は 改訂を検討中 Ø 改訂プロジェクトは未開始 Ø 改訂に向けた作業期間を設け コンテンツを収集中 10

ISO/IEC JTC1/SC27/WG1 における規格化の概況 - ISO/IEC 27001 及び ISO/IEC 27002 の改訂状況 11

ISO/IEC 27001:2013 の改訂状況 l 現在 定期レビューの投票期間 年内に投票結果 l 一方で WG1 内に 次期改訂における選択肢を検討する アドバイザリーグループを設置 Ø 次期改訂について検討する必要性とは? マネジメントシステム規格の共通フォーマット改訂との 時期調整 < 想定されるスケジュール > ISO/IEC 27001 2019 年春改訂開始 2022 年春発行 (36 ヶ月の場合 ) 2019 年春改訂開始 2023 年春発行 (48 ヶ月の場合 ) 共通フォーマット改訂版発行は 2022 年見込み 12

ISO/IEC 27001:2013 の改訂状況 l 前回改訂時に平行線をたどった ( 次の改訂でも対立が想定される ) 課題について 改訂に先立ち 検討作業を実施 期間 :2017 年 10 月 2018 年 10 月 トピックス : - Annex A の必要性 ( 特定の一つの管理策群との比較は 必要か etc.) - 適用宣言書の必要性 ( 固有名詞である必要はあるか etc.) 結果 : - 25 名の WG エキスパートの意見を収集 - 特定の結論は出さずに収集した意見をまとめて本検討は 終了 まとめた内容は WG1 内文書として発行 - Annex A 適用宣言書とも必要との回答が優勢も 根強い 反対もあり - 議論は 改訂開始後に持ち越し 13

ISO/IEC 27002:2013 の改訂 l 2018 年 4 月より改訂作業を開始済み l 改訂作業開始前に 1 年間の準備期間を置き デザインスペックを決定している l 現在は WG エキスパートレベルで作業文書 (WD) を作成中 l 発行は 2021 年以降の見込み l ISO/IEC 27001 との改訂版同時発行については する しない含めて今後の検討課題 l 改訂プロジェクトの進め方 : l 先行して規格本文の構成 及び管理策を確定する l 各管理策の内容詳細の議論はその後に 14

ISO/IEC 27002:2013 の改訂 l これまでに議論した内容 注 : 決定事項ではありません l タイトル : Information technology Security techniques Information security controls l 規格の構成 : l 管理策の最上位カテゴリ : organization, people, physical, technical l 各管理策の記述構成 : control, purpose, implementation guidance, and other information l その他 : 管理策に attributes を付属する ex. Control type (preventive, detective, corrective), CIA 15

ISO/IEC 27001 及び ISO/IEC 27002 の改訂の状況 < まとめ > ISO/IEC 27001 は 5 年毎の定期見直しスキームに基づき 改訂を開始するか判断のタイミング Annex SL 改訂とのタイミングで改訂開始が遅れる可能性も ISO/IEC 27001 は改訂作業に伴い想定される課題を先出しで個別に検討中 ISO/IEC 27002 は改訂作業を既に開始済み まだ WG エキスパートレベルで作業文書 (WD) を作成中の段階 16

ISO/IEC JTC1/SC27/WG1 における規格化の概況 - サイバーセキュリティに関する規格開発の本格化 17

ISO/IEC TS 27100 の開発 ISO/IEC TS 27100, Information technology Cybersecurity Overview and concepts l サイバーセキュリティの概要及び概念を記述し 用語定義を提供する技術文書 l 今後の作業及び課題 : l WG エキスパートレベルで作業文書を作成している状況文書の発行は 2020 年以降の見込み l 保有課題 : 次についてコンセンサスを得ること - サイバーセキュリティとは何か - 情報セキュリティとの違い - ISMS との関係他 プロジェクトは まだ始まったばかり 18

ISO/IEC TS 27101 の開発 ISO/IEC TS 27101, Information technology Cybersecurity Framework development guidelines l サイバーセキュリティのフレームワークを策定するための 指針を示す文書 l 米国 NIST 文書 Framework for Improving Critical Infrastructure Cybersecurity ( 以降 NIST 文書と記す ) の構造 (Identify, Protect, Detect, Respond, Recover) を用いて構成されている l 想定利用者 : サイバーセキュリティ フレームワークを作る組織 政府機関 業界団体等 l 現在は WG エキスパートレベルで作業文書を作成している状況 文書の発行は 2019 年以降の見込み 19

ISO/IEC TR 27103 の無償配布 ISO/IEC TR 27103:2018 Information technology -- Security techniques -- Cybersecurity and ISO and IEC Standards l 組織がサイバーセキュリティ フレームワークを持つことの重要性を示し 既存規格をサイバーセキュリティ フレームワークにおいて いかに活用するかについて示した文書 l NIST 文書と既存の ISO 及び IEC 規格 (ISO/IEC 27002:2013 他 ) との対応を説明している l サイバーセキュリティ フレームワークと既存規格の関係を知る上で有益な文書であるため ( 標準化作業における活用を前提に ) 無償配布を決定 現在準備中 20

ISO/IEC TR 27103 の無償配布 l 内容例 Identify ファンクションのカテゴリーの説明及び対応する既存規格 21

ISO/IEC 27102 の開発 ISO/IEC 27102 Information technology -- Security techniques -- Information security management guidelines for cyber insurance l 組織のリスクマネジメントの枠組みの中で サイバー保険を リスク低減の対策に用いる際のガイドラインを提供する l タイトル変更を提案中 今後 投票を経て決定見込み ISO/IEC 27102 Information technology - Information Security Management - Guidelines for cyber insurance l 想定利用者 : 保険利用者と保険事業者 l 今後の予定 : l SC27 メンバーだけでなく 全メンバー国に投票のため回付するレベルでのドラフト検討 ( 技術面の検討の最終段階 ) l 進捗によっては 2019 年の発行もあり得る 22

サイバーセキュリティに関する規格開発の本格化 < まとめ > ISO/IEC 27100(Overview and concepts) 及び ISO/IEC 27101(Framework development guidelines) はいずれも WG エキスパートレベルで作業文書を推敲する初期段階 ISO/IEC 27102(Cyber insurance) は 技術面の 検討の最終段階 早ければ 2019 年に発行も ISO/IEC 27103(Cybersecurity and ISO and IEC Standards) は 無償での提供へ 23

ISO/IEC JTC1/SC27/WG1 における規格化の概況 - その他の状況 24

その他の状況 ISO/IEC 27007:2017 Information technology -- Security techniques -- Guidelines for information security management systems auditing 引用規格 ISO 19011( マネジメントシステム監査のための指針 ) の改訂に対応するため 早期のマイナー改訂に進む見込み ISO/IEC 27009:2016 Information technology -- Security techniques -- Sector-specific application of ISO/IEC 27001 Requirements 改訂中 SC27 メンバー内においてドラフトを検討する段階 ISO/IEC 27006:2015 Information technology -- Security techniques -- Requirements for bodies providing audit and certification of information security management systems 誤解を生じやすい点に関し追補発行の見込み 25

その他の状況 ISO/IEC 27013:2015 Information technology -- Security techniques -- Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 引用規格 ISO/IEC 20000-1 改訂に伴い改訂に進む見込み ISO/IEC 27014:2013 Information technology -- Security techniques -- Governance of information security 改訂作業中 WG エキスパートで作業文書を作成している段階 ISO/IEC 27019:2017 Information technology -- Security techniques -- Information security controls for the energy utility industry 正誤表を発行予定 26

ISO/IEC 27000 ファミリー規格の最新動向 2018-12-07 ISO/IEC JTC1/SC27 WG1 小委員会主査 ( 株式会社日立製作所 ) 相羽律子 27

2024 © docsplayer.net プライバシー | 利用規約 | フィードバック