ISO/IEC 27000 ファミリーについて 2014 年 6 月 4 日 1. ISO/IEC 27000 ファミリーとは ISO/IEC 27000 ファミリーは 情 報 セキュリティマネジメントシステム(ISMS)に 関 す る 国 際 規 格 であり ISO( 国 際 標 準 化 機 構 ) 及 び IEC( 国 際 電 気 標 準 会 議 )の 設 置 する 合 同 専 門 委 員 会 ISO/IEC JTC1( 情 報 技 術 )の 分 化 委 員 会 SC 27(セキュリティ 技 術 )において 標 準 化 作 業 が 進 められています 以 下 に 示 すように 要 求 事 項 である ISO/IEC 27001 をは じめ ISO/IEC 27000 ファミリーとして 様 々な 規 格 が 検 討 され 発 行 されています *NP:New work item Proposal のことであり ISO 規 格 を 作 成 する 場 合 初 めに 作 成 可 否 について NP 投 票 が 行 わ れます 規 格 策 定 の 段 階 については 6 ページをご 参 照 下 さい 1
規 格 の 概 要 前 図 の 作 成 中 及 び 発 行 済 ( 改 訂 中 含 む) 規 格 の 概 要 は 以 下 の 通 りです ISO/IEC 27000:2014 Information technology Security techniques Information security management systems Overview and vocabulary 2014 年 1 月 発 行 [ 第 3 版 ] ISMS ファミリー 規 格 の 概 要 ISMS ファミリー 規 格 において 使 用 される 用 語 等 について 規 定 した 規 格 国 内 規 格 としては 2014 年 3 月 に JIS Q 27000:2014 として 制 定 された JIS Q 27000:2014 情 報 技 術 -セキュリティ 技 術 - 情 報 セキュリティマネジメントシステム- 用 語 ISO/IEC 27000:2014 の 箇 条 2 の 用 語 及 び 定 義 の 技 術 的 内 容 を 変 更 することなく 作 成 した 国 内 規 格 (ISMS の 概 要 などを 示 した ISO/IEC 27000:2014 の 箇 条 3 以 降 は 含 まれていない) ISO/IEC 27001:2013 Information technology Security techniques Information security management systems Requirements 2013 年 10 月 発 行 [ 第 2 版 ] 組 織 の 事 業 リスク 全 般 を 考 慮 して 文 書 化 した ISMS を 確 立 実 施 維 持 及 び 継 続 的 に 改 善 するため の 要 求 事 項 を 規 定 した 規 格 国 内 規 格 としては 2014 年 3 月 に JIS Q 27001:2014(JIS Q 27001:2006 の 改 正 版 )として 制 定 された JIS Q 27001:2014 情 報 技 術 -セキュリティ 技 術 - 情 報 セキュリティマネジメントシステム- 要 求 事 項 2008 年 10 月 リマソール 会 議 にて 定 期 レビュー 審 議 を 行 い 改 訂 開 始 が 決 定 された これを 受 けた 改 訂 作 業 を 経 て 2013 年 10 月 に 改 訂 版 が 発 行 された ISO/IEC 27002:2013 Information technology Security techniques Code of practice for information security controls 2013 年 10 月 発 行 [ 第 2 版 ] 組 織 の 情 報 セキュリティリスクの 環 境 を 考 慮 に 入 れた 管 理 策 の 選 定 実 施 及 び 管 理 を 含 む 組 織 の 情 報 セキュリティ 標 準 及 び 情 報 セキュリティマネジメントを 実 施 するためのベストプラクティスをま とめた 規 格 ISO/IEC 27001 の 附 属 書 A 管 理 目 的 及 び 管 理 策 と 整 合 がとられている * 当 初 ISO/IEC 17799 として 発 行 されたが 2007 年 7 月 に 規 格 番 号 が 27002 へ 改 番 された 国 内 規 格 としては 2014 年 3 月 に JIS Q 27002:2014(JIS Q 27002:2006 の 改 正 版 )として 制 定 された JIS Q 27002:2014 情 報 技 術 -セキュリティ 技 術 - 情 報 セキュリティ 管 理 策 の 実 践 のための 規 範 2008 年 10 月 リマソール 会 議 にて 定 期 レビュー 審 議 を 行 い 改 訂 開 始 が 決 定 された これを 受 けた 改 訂 作 業 を 経 て 2013 年 10 月 に 改 訂 版 が 発 行 された ISO/IEC 27003:2010 Information technology Security techniques Information security management system implementation guidance 2010 年 2 月 発 行 ( 現 在 改 訂 審 議 中 ) 2
ISMS の 実 装 ( 計 画 から 導 入 まで)に 関 するガイダンス 規 格 2012 年 10 月 ローマ 会 議 後 に 開 始 された NP 投 票 の 結 果 を 受 けて 2013 年 5 月 ソフィアアンティポ リス 会 議 にて 早 期 改 訂 開 始 が 決 定 された 現 在 実 施 中 の 改 訂 審 議 の 中 で 第 2 版 では 適 用 範 囲 の 変 更 とともに 標 題 が 以 下 に 変 更 されることにな った Information technology Security techniques Information security management system Guidance ISO/IEC 27004:2009 Information technology Security techniques Information security management Measurement 2009 年 12 月 発 行 ( 現 在 改 訂 審 議 中 ) 導 入 された ISMS 及 び 管 理 策 ( 群 )の 有 効 性 を 評 価 するための 測 定 に 関 するガイダンス 規 格 2012 年 5 月 ストックホルム 会 議 にて 定 期 レビュー 審 議 を 行 い 改 訂 開 始 が 決 定 された 現 在 実 施 中 の 改 訂 審 議 の 中 で 第 2 版 では 適 用 範 囲 の 変 更 とともに 標 題 が 以 下 に 変 更 されることにな った Information technology Security techniques Information security management -Monitoring, measurement, analysis and evaluation ISO/IEC 27005:2011 Information technology Security techniques Information security risk management 2011 年 6 月 発 行 [ 第 2 版 ]( 現 在 改 訂 審 議 中 ) 情 報 セキュリティのリスクマネジメントに 関 するガイドライン 規 格 2008 年 6 月 に 発 行 後 2010 年 4 月 マラッカ 会 議 にて ISO 31000:2009 及 び ISO Guide 73:2009 と の 整 合 に 限 定 した 改 訂 を (ISO/IEC 27001:2005 対 応 版 として) 通 常 よりも 早 い 改 訂 プロセスを 適 用 して 行 うことが 決 定 された これを 受 けた 改 訂 作 業 を 経 て 2011 年 に 改 訂 版 ( 第 2 版 )が 発 行 され た 2013 年 5 月 ソフィアアンティポリス 会 議 後 に 開 始 された NP 投 票 の 結 果 を 受 けて 2013 年 10 月 イ ンチョン 会 議 にて 早 期 改 訂 開 始 が 決 定 された ISO/IEC 27006:2011 Information technology Security techniques Requirements for bodies providing audit and certification of information security management systems 2011 年 12 月 発 行 [ 第 2 版 ]( 現 在 改 訂 審 議 中 ) ISMS 認 証 を 希 望 する 組 織 の 審 査 認 証 を 行 う 認 証 機 関 に 対 する 要 求 事 項 を 規 定 した 規 格 マネジメントシステム 認 証 機 関 に 対 する 要 求 事 項 としては ISO/IEC 17021が 規 定 されているが ISMS 認 証 機 関 に 対 しては 併 せて ISO/IEC 27006 が 要 求 される 国 内 規 格 としては 2012 年 9 月 に JIS Q 27006:2012(JIS Q 27006:2008 の 改 正 版 )として 制 定 された JIS Q 27006:2012 情 報 技 術 -セキュリティ 技 術 - 情 報 セキュリティマネジメントシステムの 審 査 及 び 認 証 を 行 う 機 関 に 対 する 要 求 事 項 ISO/IEC 17021 の 改 訂 版 ISO/IEC 17021:2011 が 発 行 されたことを 受 けて 2011 年 4 月 シンガポール 会 議 にて ISO/IEC 27006 も ISO/IEC 17021:2011 との 整 合 に 限 定 した 早 期 改 訂 を 行 うことが 決 定 され た これを 受 けた 改 訂 作 業 を 経 て 2011 年 に 改 訂 版 が 発 行 された その 後 2012 年 5 月 ストックホルム 会 議 にて ISO/IEC 17021:2011 整 合 以 外 の 内 容 も 含 む 改 訂 開 始 3
が 決 定 された ISO/IEC 27007:2011 Information technology Security techniques Guidelines for information security management systems auditing 2011 年 11 月 発 行 ( 改 訂 決 定 ) ISMS 監 査 の 実 施 に 関 するガイドライン 規 格 ISO 19011:2011(マネジメントシステム 監 査 のための 指 針 -2011 年 11 月 発 行 )に 加 えて ISMS 固 有 のガイダンスを 提 供 する 2014 年 4 月 香 港 会 議 にて 定 期 レビュー 審 議 を 行 い 改 訂 開 始 が 決 定 された ISO/IEC TR 27008:2011 Information technology Security techniques Guidelines for auditors on information security controls 2011 年 10 月 発 行 ( 改 訂 決 定 ) 組 織 の 情 報 セキュリティの 管 理 策 のレビューに 関 する 技 術 報 告 書 (TR:Technical Report) 2014 年 4 月 香 港 会 議 にて 定 期 レビュー 審 議 を 行 い 改 訂 開 始 が 決 定 された ISO/IEC 27009( 作 成 中 ) Information technology Security techniques Sector specific application of ISO/IEC 27001 - requirements セクター 規 格 を 作 成 する 組 織 に 対 する 27001 適 用 について 規 定 する 規 格 ISO/IEC 27010:2012 Information technology Security techniques Information security management for inter-sector and inter-organizational communications 2012 年 4 月 発 行 セクター 間 及 び 組 織 間 コミュニケーションのための 情 報 セキュリティマネジメントに 関 する 規 格 情 報 共 有 コミュニティの 中 で 情 報 セキュリティマネジメントを 実 施 するためのガイダンスや セクター 間 及 び 組 織 間 コミュニケーションにおける 情 報 セキュリティに 関 する 管 理 策 及 び 手 引 を 提 供 する ISO/IEC 27011:2008 Information technology Security techniques Information security management guidelines for telecommunications organizations based on ISO/IEC 27002 2008 年 12 月 発 行 ( 現 在 改 訂 審 議 中 ) 電 気 通 信 業 界 内 の 組 織 における ISO/IEC 27002 に 基 づいた 情 報 セキュリティマネジメント 導 入 を 支 援 するガイドライン 規 格 であり SC 27 と ITU-T が 共 同 で 作 成 したものである 2013 年 5 月 ソフィアアンティポリス 会 議 後 に 開 始 された NP 投 票 の 結 果 を 受 けて 2013 年 10 月 イ ンチョン 会 議 にて 改 訂 開 始 が 決 定 された ISO/IEC 27013:2012 Information technology Security techniques Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1 2012 年 10 月 発 行 ( 現 在 改 訂 審 議 中 ) ISO/IEC 20000-1 及 び ISO/IEC 27001 の 統 合 実 践 に 関 するガイダンス 規 格 ISO/IEC 20000-1 担 当 の SC7/WG25(IT Service management)と 連 携 して 作 成 された 2013 年 5 月 ソフィアアンティポリス 会 議 後 に 開 始 された NP 投 票 の 結 果 を 受 けて 2013 年 10 月 イ ンチョン 会 議 にて 改 訂 開 始 が 決 定 された ISO/IEC 27014:2013 Information technology Security techniques Governance of Information security 情 報 セキュリティのガバナンスに 関 する 規 格 であり 情 報 セキュリティガバナンスの 原 則 及 びプロセ スの 手 引 を 提 供 する 4
2013 年 4 月 発 行 ISO/IEC TR 27015:2012 Information technology Security techniques Information security management guidelines for financial services 2012 年 11 月 発 行 金 融 サービスのための 情 報 セキュリティマネジメントに 関 する 技 術 報 告 書 ISO/IEC TR 27016:2014 Information technology Security techniques Information security management Organizational economics 2014 年 2 月 発 行 組 織 の 情 報 資 産 の 保 護 に 対 して 経 済 学 的 な 視 点 を 適 用 し モデル 及 び 例 示 の 使 用 を 通 して 情 報 セキュ リティに 関 する 組 織 の 経 済 性 を 適 用 する 方 法 の 手 引 を 提 供 する 技 術 報 告 書 ISO/IEC 27017( 作 成 中 ) Information technology Security techniques Code of practice for information security controls for cloud computing services based on ISO/IEC 27002 クラウドコンピューティングサービスにおける ISO/IEC 27002 に 基 づく 情 報 セキュリティ 管 理 策 の 実 践 のための 規 範 を 提 供 する 規 格 ISO/IEC TR 27019:2013 Information technology -- Security techniques -- Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry エネルギー 業 界 向 けプロセス 制 御 システムのための ISO/IEC 27002 に 基 づく 情 報 セキュリティマネ ジメメントに 関 する 技 術 報 告 書 2013 年 7 月 発 行 5
2. ISO/IEC 27000 ファミリー 規 格 の 検 討 状 況 ISO/IEC 27000 ファミリーの 検 討 は 年 2 回 ( 春 秋 ) 開 催 される SC 27 の WG 1( 情 報 セキュリティマネジメントシステム)において 進 められています 第 48 回 WG 1 会 儀 は 2014 年 4 月 7 日 ~11 日 に 香 港 ( 中 国 )にて 開 催 されました この 会 合 での 検 討 状 況 は 以 下 のとおりです SC 27 総 会 は 年 1 回 開 催 されており この 総 会 の 報 告 については 一 般 社 団 法 人 情 報 処 理 学 会 情 報 規 格 調 査 会 様 の Web サイトにて 公 開 されています 一 般 社 団 法 人 情 報 処 理 学 会 情 報 規 格 調 査 会 : http://www.itscj.ipsj.or.jp/index.html 2-1 第 48 回 SC 27/ WG 1 会 議 における 検 討 状 況 ( 全 体 ) * 各 会 議 で 審 議 される 規 格 の 段 階 を 示 しています 既 に IS 発 行 済 で 現 在 改 訂 中 のものについては ()で 改 訂 段 階 を 示 しています 例 :IS( 改 訂 中 :DIS)-IS 発 行 済 だが 現 在 改 訂 中 で DIS 審 議 緑 色 の 網 掛 けセルは 発 行 済 規 格 灰 色 の 網 掛 けセルは 中 止 プロジェクトです ISO/IEC 番 号 ISO/IEC 27000 規 格 内 容 概 要 及 び 用 語 第 48 回 会 議 (2014 年 4 月 ) IS[ 第 3 版 ] [SP] 第 49 回 会 議 (2014 年 10 月 ) IS[ 第 3 版 ] [SP] ISO/IEC 27001 要 求 事 項 IS[ 第 2 版 ] IS[ 第 2 版 ] ISO/IEC 27002 情 報 セキュリティ 管 理 策 の 実 践 のための 規 範 IS[ 第 2 版 ] IS[ 第 2 版 ] ISO/IEC 27003 ISO/IEC 27004 ISO/IEC 27005 ISO/IEC 27006 導 入 に 関 する 手 引 測 定 リスクマネジメントに 関 する 指 針 認 証 機 関 に 対 する 要 求 事 項 ( 改 訂 中 :2nd WD) ( 改 訂 中 :2nd WD) IS[ 第 2 版 ] (WD) IS[ 第 2 版 ] ( 改 訂 中 :CD) ISO/IEC 27007 監 査 の 指 針 ISO/IEC TR 27008 IS 管 理 策 に 関 する 監 査 員 のための 指 針 TR[ 第 1 版 ] ISO/IEC 27009 ISO/IEC 27010 ISO/IEC 27011 セクター 規 格 への 27001 適 用 に 関 する 要 求 事 項 セクター 間 及 び 組 織 間 コミュニケーションのため の 情 報 セキュリティマネジメント 電 気 通 信 組 織 のための 指 針 2nd WD ( 改 訂 中 :3rd WD) ( 改 訂 中 :3rd WD) IS[ 第 2 版 ] (2nd WD) IS[ 第 2 版 ] ( 改 訂 中 :2nd CD) ( 改 訂 決 定 ) TR[ 第 1 版 ] ( 改 訂 決 定 ) CD ( 改 訂 中 :WD) ( 改 訂 中 :CD) ISO/IEC 27012 電 子 政 府 サービスのための ISMS 指 針 - - ISO/IEC 27013 ISO/IEC 27001 と ISO/IEC 20000-1 との 統 合 導 入 に ついての 手 引 ( 改 訂 中 :WD) ( 改 訂 中 :CD) ISO/IEC 27014 情 報 セキュリティのガバナンス ISO/IEC TR 27015 ISO/IEC TR 27016 ISO/IEC 27017 ISO/IEC TR 27019 *ISO 規 格 策 定 の 段 階 は 次 のとおり NP WD CD DIS FDIS IS( 発 行 済 ) 金 融 サービスに 対 する 情 報 セキュリティマネジメ ントの 指 針 情 報 セキュリティマネジメント- 組 織 の 経 済 的 側 面 (Organizational economics) クラウドコンピューティングサービスにおける ISO/IEC 27002 に 基 づく 情 報 セキュリティ 管 理 策 の 実 践 のための 規 範 エネルギー 業 界 向 けプロセス 制 御 システム のための ISO/IEC 27002 に 基 づく ISM の 指 針 TR[ 第 1 版 ] TR[ 第 1 版 ] TR CD TR [SP] *なお TR 規 格 策 定 の 段 階 は 次 のとおり NP WD PDTR DTR TR Technical Report: 技 術 報 告 書 NP: New work item Proposal NP: New work item Proposal WD: Working Draft WD: Working Draft CD: Committee Draft PDTR: Proposed Draft Technical Report DIS: Draft International Standard DTR: Draft Technical Report FDIS: Final Draft for International standard TR: Technical Report IS: International Standard SP Study Period TR 2nd CD TR [SP] 6
2-2 第 48 回 SC 27/ WG 1 会 議 における 検 討 状 況 ( 詳 細 ) - 主 要 プロジェクト 進 捗 状 況 27000 Information security management systems Overview and vocabulary スウェーデンからの 寄 書 及 び, 日 本 及 び 英 国 からのコメント 処 理 を 行 い,27000 の 今 後 の 改 訂 方 法 等 に 関 する 課 題 の 整 理 を 行 った 結 果 SP(Study Period)を 延 長 し 引 き 続 き 27000 の 運 用 管 理 等 について 検 討 していくことになった 27001 27002 Defect Report 2013 年 10 月 に 発 行 された 27001 の 8.1.1( 管 理 策 ) 及 び 27002 の 8.1.1( 管 理 策 ) 8.1.3 ( 実 施 の 手 引 ) 7.1.2( 実 施 の 手 引 )について オーストラリアより Defect Report が 提 出 されており 審 議 を 行 った その 結 果 オーストラリアの 提 案 に 基 づき 該 当 箇 所 の"Assets associated with information and information processing facilities"という 表 現 に Information が 含 まれるように 修 正 を 行 うこととし Technical Corrigenda( 技 術 修 正 票 )を 発 行 するこ とになった 27003 Information security management system Guidance 今 回 の 会 議 に 先 立 って 2nd WD 27003 に 対 して 約 350 件 のコメントが 寄 せられた 編 集 会 議 では 適 用 範 囲 の 変 更 が 採 用 された その 他 全 てのコメント 審 議 を 行 い これ らのコメントに 基 づいて 内 容 的 な 修 正 も 多 く 採 用 された 今 回 の 編 集 会 議 の 結 果 内 容 的 な 変 更 も 多 かったことから 次 回 は 3rd WD を 発 行 することにな った 27004 Information security management systems -Monitoring, measurement, analysis and evaluation 今 回 の 会 議 に 先 立 って 2nd WD 27004 に 対 して 約 80 件 のコメントが 寄 せられた 編 集 会 議 では 5.3 Meeting 27001 Requirements について スウェーデンから 提 案 された 27001 の 9.1 と 27004 の 実 施 事 項 をマッピングした 概 要 図 と 日 本 提 案 のテキスト 変 更 を 合 わせて 検 討 し これに 基 づき 2nd WD 27004 の 5.3 を 変 更 することになった また 27004 内 での measure measurement metrics の 使 用 方 法 について 各 国 からコメントがあり 整 理 されることになった 今 回 の 編 集 会 議 の 結 果 多 くのコメントが 採 用 されたが エディタ 預 かりとなったものも 多 かったこ とから 次 回 は 3rd WD を 発 行 することになった 7
27005 Information security risk management 今 回 の 会 議 に 先 立 って 1st WD 27005 に 対 して 約 100 件 のコメントが 寄 せられた 編 集 会 議 では 前 回 に 引 き 続 き 適 用 範 囲 について 審 議 され その 結 果 27005 は 27001 だ けでなく 27000 ファミリー 全 般 を 対 象 としたものにする 方 向 とすることで 合 意 された また ISO 31000 との 整 合 をとることについても 基 本 的 に 合 意 された なお 一 部 のコメン トの 審 議 が 終 了 せず 次 回 会 合 で 審 議 されることになった 今 回 の 編 集 会 議 の 結 果 次 回 は 2nd WD を 発 行 することになった 27006 Requirements for bodies providing audit and certification of information security management systems 今 回 の 会 議 に 先 立 って 1st CD 27006 に 対 して(これまでの 会 議 からの 持 越 し 分 も 含 め) 約 230 件 のコメントが 寄 せられた 編 集 会 議 では 主 に 附 属 書 C について 審 議 された スウェーデンからの 提 案 をもとに 審 議 を 行 った 結 果 審 査 工 数 表 * 審 査 工 数 算 出 時 に 考 慮 すべき 要 因 その 要 因 を 必 ず 考 慮 して 審 査 工 数 を 算 出 すること 及 び 審 査 工 数 表 からの 削 減 の 割 合 を Normative( 必 須 )とするこ ととし 一 方 でその 具 体 的 な 算 出 方 法 については 例 示 (Informative)とすることになった * 審 査 工 数 表 は まずは 2011 年 版 を 出 発 点 とし 内 容 は 今 後 検 討 予 定 また 本 文 については DIS 17021 との 整 合 化 はエディタが 対 応 することとなり テキスト の 記 載 箇 所 の 移 動 を 求 めるコメントなど 多 くのコメントもエディタ 預 かりとなった 編 集 会 議 では それ 以 外 のコメントについて 審 議 を 行 った 今 回 の 編 集 会 議 の 結 果 附 属 書 C( 審 査 工 数 )を 1st CD 27006 から 大 幅 に 変 更 したため 次 回 は 2nd CD を 発 行 することになった 27009 Sector specific application of ISO/IEC 27001 - requirements 今 回 の 会 議 に 先 立 って 2nd WD 27009 に 対 して 約 120 件 のコメントが 寄 せられた 編 集 会 議 では 適 用 範 囲 に 対 してコメントが 複 数 寄 せられており 前 回 会 議 に 引 き 続 き 再 度 審 議 変 更 された また 4 章 と 5 章 についてコメントも 多 く 審 議 された 結 果 箇 条 4 は 27001 要 求 事 項 ( 本 文 )の 拡 張 等 についての 規 格 開 発 者 向 け 要 求 事 項 及 び 指 針 を 箇 条 5 は 27001 附 属 書 A/27002 の 管 理 策 の 拡 張 等 についての 規 格 開 発 者 向 け 要 求 事 項 及 び 指 針 を 示 すことになった また 箇 条 4 箇 条 5 に 対 応 するセクター 別 規 格 作 成 に 際 してのテン プレートを それぞれ 別 の 附 属 書 として 含 めることになった 今 回 の 編 集 会 議 の 結 果 すべてのコメント 審 議 が 終 了 し 次 回 は 1st CD を 発 行 することにな った 以 上 8