ISO27001 2013年版

ISO27001 > ISO27001:2013 > 製造業様向けISO27001・情報セキュリティマネジメントシステム認証取得支援コンサルティング > 医療情報処理業ISO27001 > 付属書Ａ.管理目的及び管理策 > 情報セキュリティ用語

ISO27001（2013年版）とは 　　　　　　　　　　　｜ サイトマップ †

ISO/IEC 27000 †

ISO27001と ISO 27002 は、ISO/IEC 27000 シリーズと呼ばれる情報セキュリティ規格群の 1つです。

この ISO/IEC 27000 シリーズは改訂され、2014-2015年が新規格への移行期間でした。

2014年に移行した組織は少なく2015年に大多数の認証取得している組織が移行しました。

ISO27000は、ISO/IEC 27000 シリーズの規格 の概要と、このシリーズ規格で使用される用語を定義した規格です。

よって、ISO27001 の IS 版では、この ISO/IEC 27000 が引用規格、及び用語及び定義の参照規格として用いられています。ISO/IEC 27000 も、ISO/IEC 27001 の改訂に併せて、改訂されました。

ISO/IEC 27001 改訂のポイント †

ISO/IEC 27001 の改訂のポイントは2つです。

• マネジメントシステム規格の共通化の動きへの対応（上位 構造、共通のテキスト・用語及び定義の適用）

• リスクマネジメント規格 ISO 31000（2009 年発行）へ の対応

マネジメントシステム規格の共通化の動きの背景には、複数のマネジメントシステム規格（例えばISO27001とISO20000の２つのシステム）を運用している組織が増えていることがあげられます。

ISO/IEC 27001:2013は、ISO/IEC27001：2005を継承した規格です。
さらにISO/IEC27001:2013は、ISO MSS共通要素の適用、リスクマネジメント（ISO 31000:200（JIS Q 31000:2010））への対応を考慮した改定内容となっています。

ISO MSS共通要素は、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性を図り、組織の負担を軽減することが共通化の目的です。
マネジメントシステムの一貫性と整合性を向上させた統一された上位構造と共通テキストから構成されています。そのために、どのようにするではなく、何をするかのマネジメントシステムの共通的な要求事項と、分野に固有な要求事項で構成されています。

「ISO/IEC 専門業務指針」に基づいて発行された・ 改訂予定のマネジメントシステム規格の状況 †

すでに、この新しいルールに基づいてマネジメントシステム規格が作らる時代に入っており、ISO/IEC 27001 や、これから策定改訂されるマネジメントシステム規格もこれに基づいて策定されています。

ISO/IEC 27001:2013の主な変更点 †

• 附属書 SL（上位構造、共通のテキスト・用語及び定義の適用） に基づいて、規格が策定
• 箇条 2 引用規格から、ISO27002 が削除され、ISO27000 が追加
• 箇条 3 用語及び定義から、16の用語の定義が削除 ⇒ ISO27000 を引用
• 専門用語の変更例
  • ISMS 基本方針 ⇒ 情報セキュリティ方針
  • ISMS の目的 ⇒ 情報セキュリティ目的
• 2005 年版の箇条 8.3 にあった「予防処置」という用語が削除
• リスクアセスメントの要求事項は、ISO31000 との整合性 により、より一般的な表現に変更
• 「リスク所有者」を特定し、「リスク所有者」が情報セキュリティリスク対応計画とセキュリティ残留リスクを承認する 要求事項が追加
• 管理策の数が、133 から 若干削減され、管理領域は増加

ISO/IEC 27001:2013の構成 †

• 0.序文
• 1.適用範囲　Scope
• 2. 引用規格　Normative references
• 3. 用語及び定義　Terms and definitions
• 4. 組織の状況　Context of the organization
  • 4.1 Understanding the organization and its context
  • 4.2 Understanding the needs and expectations of interested parties
  • 4.3 Determining the scope of the information security management system
  • 4.4 Information Security Management System
• 5. リーダーシップ　Leadership
  • 5.1 Leadership and commitment
  • 5.2 Policy
  • 5.3 Organizational roles, responsibilities and authorities
• 6. 計画　Planning
  • 6.1 Actions to address risks and opportunities
    • 6.1.1 General
    • 6.1.2 Information security risk assessment
    • 6.1.3 Information security risk treatment
  • 6.2 Information security objectives and planning to achieve them
• 7. 支援　Support
  • 7.1 Resources
  • 7.2 Competence
  • 7.3 Awareness
  • 7.4 Communication
  • 7.5 Documented information
    • 7.5.1 General
    • 7.5.2 Creating and updating
    • 7.5.3 Control of documented information
• 8. 運用　Operation
  • 8.1 Operational planning and control
  • 8.2 Information security risk assessment
  • 8.3 Information security risk treatment
• 9. パフォーマンス評価　Performance evaluation
  • 9.1 Monitoring, measurement, analysis and evaluation
  • 9.2 Internal audit
  • 9.3 Management review
• 10. 改善　Improvement
  • 10.1 Nonconformity and corrective action
  • 10.2 Continual improvement
• 付属書Ａ.管理目的及び管理策
  • A.5 情報セキュリティのための方針群 Security Policy Management
  • A.6 情報セキュリティのための組織 Corporate Security Management
  • A.7 人的資源のセキュリティ Personnel Security Management
  • A.8 資産の管理 Organizational Asset Management
  • A.9 アクセス制御 Information Access Management
  • A.10 暗号 Cryptography Policy Management
  • A.11 物理的及び環境的セキュリティ Physical Security Management
  • A.12 運用のセキュリティ Operational Security Management
  • A.13 通信のセキュリティ Network Security Management
  • A.14 システムの取得、開発及び保守 System Security Management
  • A.15 供給者関係 Supplier Relationship Management
  • A.16 情報セキュリティインシデント管理 Security Incident Management
  • A.17 事業継続マネジメントにおける情報セキュリティの側面 Security Continuity Management
  • A.18 順守 Security Compliance Management

詳細管理策　ワンポイント解説 †

A.5 情報セキュリティのための方針群 †

• A.5.1 情報セキュリティのための経営陣の方向性
  • A.5.1.1 情報セキュリティのための方針群
  • A.5.1.2 情報セキュリティのための方針群のレビュー

解説 †

2005年版では情報セキュリティ基本方針という呼称であったが2013年版では情報セキュリティ方針となった。
詳細管理策の見出しは、”方針群”となっている。方針はひとつではなく、複数を示していることがわかる。
経営者は情報セキュリティ方針を作成して周知する。

A.6 情報セキュリティのための組織 †

• A.6.1 内部組織
  • A.6.1.1 情報セキュリティの役割及び責任
  • A.6.1.2 職務の分離
  • A.6.1.3 関係当局との連絡
  • A.6.1.4 専門組織との連絡
  • A.6.1.5 プロジェクトマネジメントにおける情報セキュリティ

• A.6.2 モバイル機器及びテレワーキング
  • A.6.2.1 モバイル機器の方針
  • A.6.2.2 テレワーキング

解説 †

• 内部組織の管理策は、組織内の情報セキュリティを管理するため行なうもの。
• モバイルコンピュ一ティング及びテレワーキングは、モバイルコンピューティング及びテレワーキングの設備を用いる時の情報セキュリティを確実にするため行なう。
• テレワーキングとは、在宅勤務のこと。電話・ファクスやインターネットを通じて、社員は在宅のまま、調査・執筆・企画・パソコン入力・プログラミング作業などを行う。

A.7 人的資源のセキュリティ †

• A.7.1 雇用前
  • A.7.1.1 選考
  • A.7.1.2 雇用条件
• A.7.2 雇用期間中
  • A.7.2.1 経営陣の責任
  • A.7.2.2 情報セキュリティの意識向上、教育及び訓練
  • A.7.2.3 懲戒手続
• A.7.3 雇用の終了及び変更
  • A.7.3.1 雇用の終了又は変更に関する責任

解説 †

• A.7.1 雇用前は、従業員、契約相手及び第三者の利用者がその責任を理解し、求められている役割にふさわしいことを確実にするとともに、盗難、不正行為、又は設備の不正使用のリスクを低減するために行なう。
• A.7.2 雇用期間中は、従業員、契約相手及び第三者の利用者の、情報セキュリティの脅威及び諸問題、並びに責任及び義務に対する認識を確実なものとし、通常の業務の中で組織のセキュリティ基本方針を維持し、人による誤りのリスクを低減できるようにすることを確実にするため行なう。
• A.7.3 雇用の終了または変更は、従業員、契約相手及び第三者の利用者の組織から離脱又は雇用の変更を所定の方法で行うことを確実にするため行なう。

A.8 資産の管理 †

• A.8.1 資産に対する責任
  • A.8.1.1 資産目録
  • A.8.1.2 資産の管理責任
  • A.8.1.3 資産利用の許容範囲
  • A.8.1.4 資産の返却
• A.8.2 情報の分類
  • A.8.2.1 情報の分類
  • A.8.2.2 情報のラベル付け
  • A.8.2.3 資産の取扱い
• A.8.3 媒体の取扱い
  • A.8.3.1 取外し可能な媒体の管理
  • A.8.3.2 媒体の処分
  • A.8.3.3 物理的媒体の輸送

解説 †

A.8.1 資産に対する責任は、組織の資産の適切な保護を達成し、維持するため行なう。

A.8.2 情報の分類は、情報の適切なレベルでの保護を確実にするため行なう。

A.9 アクセス制御 †

• A.9.1 アクセス制御に対する業務上の要求事項
  • A.9.1.1 アクセス制御方針
  • A.9.1.2 ネットワーク及びネットワークサービスへのアクセス
• A.9.2 利用者アクセスの管理
  • A.9.2.1 利用者登録と登録削除
  • A.9.2.2 利用者アクセスの提供 (provisioning)
  • A.9.2.3 特権的アクセス権の管理
  • A.9.2.4 利用者の秘密認証情報の管理
  • A.9.2.5 利用者アクセス権のレビュー
  • A.9.2.6 アクセス権の削除又は修正
• A.9.3 利用者の責任
  • A.9.3.1 秘密認証情報の利用
• A.9.4 システム及びアプリケーションのアクセス制御
  • A.9.4.1 情報へのアクセス制限
  • A.9.4.2 セキュリティに配慮したログオン手順
  • A.9.4.3 パスワード管理システム
  • A.9.4.4 特権的なユーティリティプログラムの使用
  • A.9.4.5 プログラムソースコードへのアクセス制御

解説 †

• アクセス制御に対する業務上の要求事項は、情報へのアクセスを制御するため行なう。
  

• プロビジョニング（ provisioning ）とは
  ユーザの需要を予想し、設備やサービスなどのリソースを計画的に調達し、ユーザの必要に応じたサービスを提供できるように備える行為の総称。
  複数のサーバやネットワーク、アプリケーション、ストレージなどのリソースを仮想化によって一つのコンピュータリソースとみなし、ユーザから要求があった場合や障害時などに、必要な分だけ、コンピュータリソースを動的に別のシステムに割り当てられるようにすること。
  もともとは通信事業者が使っていた用語で、ユーザの申し込み後すぐにサービスを提供できるよう、回線設備などを事前に準備することを意味している。プロビジョニングが必要とされてきた理由としては、インフラ拡張が足かせとなって新規アプリケーションの展開が遅れることで、日々強まるITに対応できなくなることや、インフラ管理に要するコストをできるだけ下げたいという要求などが挙げられる。

A.10 暗号 †

• A.10.1 暗号による管理策
  • A.10.1.1 暗号による管理策の利用方針
  • A.10.1.2 鍵管理

解説 †

暗号は、情報の機密性、真正性及び／又は完全性を保護するために、暗号の適切かつ有効な利用を確実にするため行う。

A.11 物理的及び環境的セキュリティ †

• A.11.1 セキュリティを保つべき領域
  • A.11.1.1 物理的セキュリティ境界
  • A.11.1.2 物理的入退管理策
  • A.11.1.3 オフィス、部屋及び施設のセキュリティ
  • A.11.1.4 外部及び環境の脅威からの保護
  • A.11.1.5 セキュリティを保つべき領域での作業
  • A.11.1.6 受渡場所
• A.11.2 装置
  • A.11.2.1 装置の設置及び保護
  • A.11.2.2 サポートユーティリティ
  • A.11.2.3 ケーブル配線のセキュリティ
  • A.11.2.4 装置の保守
  • A.11.2.5 資産の移動
  • A.11.2.6 構外にある装置及び資産のセキュリティ
  • A.11.2.7 装置のセキュリティを保った処分又は再利用
  • A.11.2.8 無人状態にある利用者装置
  • A.11.2.9 クリアデスク･クリアスクリーン方針

解説 †

• セキュリティを保つべき領域は、組織の施設及び情報に対する認可されていない物理的アクセス、損傷及び妨害を防止するため行なう。
  
• 装置のセキュリティは、資産の損失、損傷、盗難又は劣化、及び組織の活動に対する妨害を防止するために行なう。

A.12 運用のセキュリティ †

• A.12.1 運用の手順及び責任
  • A.12.1.1 操作手順書
  • A.12.1.2 変更管理
  • A.12.1.3 容量･能力の管理
  • A.12.1.4 開発環境、試験環境及び運用環境の分離
• A.12.2 マルウェアからの保護
  • A.12.2.1 マルウェアに対する管理策
• A.12.3 バックアップ
  • A.12.3.1 情報のバックアップ
• A.12.4 ログ取得及び監視
  • A.12.4.1 イベントログ取得
  • A.12.4.2 ログ情報の保護
  • A.12.4.3 実務管理者及び運用担当者の作業ログ
  • A.12.4.4 クロックの同期
• A.12.5 運用ソフトウェアの管理
  • A.12.5.1 運用システムに関わるソフトウェアの導入
• A.12.6 技術的ぜい弱性管理
  • A.12.6.1 技術的ぜい弱性の管理
  • A.12.6.2 ソフトウェアのインストールの制限
• A.12.7 情報システムの監査に対する考慮事項
  • A.12.7.1 情報システム監査に対する管理策

解説 †

運用のセキュリティは、情報処理設備の正確かつセキュリティを保った運用を確実にするために行う。

A.13 通信のセキュリティ †

• A.13.1 ネットワークセキュリティ管理
  • A.13.1.1 ネットワーク管理策
  • A.13.1.2 ネットワークサービスのセキュリティ
  • A.13.1.3 ネットワークの分離
• A.13.2 情報の転送
  • A.13.2.1 情報転送の方針及び手順
  • A.13.2.2 情報転送に関する合意
  • A.13.2.3 電子的メッセージ通信
  • A.13.2.4 秘密保持契約又は守秘義務契約

解説 †

通信のセキュリティは、ネットワークにおける情報の保護、及びネットワークを支える情報処理施設の保護を確実にするために行う。

A.14 システムの取得、開発及び保守 †

• A.14.1 情報システムのセキュリティ要求事項
  • A.14.1.1 情報セキュリティ要求事項の分析及び仕様化
  • A.14.1.2 公衆ネットワーク上のアプリケーションサービスのセキュリティの考慮
  • A.14.1.3 アプリケーションサービスのトランザクションの保護

• A.14.2 開発及びサポートプロセスにおけるセキュリティ
  • A.14.2.1 セキュリティに配慮した開発のための方針
  • A.14.2.2 システムの変更管理手順
  • A.14.2.3 オペレーティングプラットフォーム変更後のアプリケーションの技術的レビュー
  • A.14.2.4 パッケージソフトウェアの変更に対する制限
  • A.14.2.5 セキュリティに配慮したシステム構築の原則
  • A.14.2.6 セキュリティに配慮した開発環境
  • A.14.2.7 外部委託による開発
  • A.14.2.8 システムセキュリティの試験
  • A.14.2.9 システムの受入れ試験

• A.14.3 試験データ
  • A.14.3.1 試験データの保護

解説 †

システムの取得、開発及び保守における管理策は、ライフサイクル全体にわたって、情報セキュリティが情報システムに欠くことのできない部分であることを確実にするため行う。
これには、公衆ネットワークを介してサービスを提供する情報システムのための要求事項も含んでいる。

• トランザクション（transaction）とは
  商取引、売買、執行、取扱、議事録などの意味を持つ英単語。ソフトウェアの処理方式の一つで、互いに関連・依存する複数の処理をまとめ、一体不可分の処理単位として扱うことをトランザクション処理と呼び、そのような処理単位をトランザクションという。

データベースシステムや業務用ソフトウェアなどでよく用いられる概念で、金融機関のコンピュータシステムにおける入出金処理のように、一連の作業を全体として一つの処理として管理するために用いる。

トランザクションとして管理された処理は「すべて成功」か「すべて失敗」のいずれかであることが保証される。
例えば、資金移動システムをコンピュータで処理する場合、出金処理と入金処理は「どちらも成功」か「どちらも失敗」のどちらかであることが要求される。「出金に成功して入金に失敗」すると、出金された資金が宙に浮いてしまうからである。
このような場合に、出金と入金をまとめて一つのトランザクションとして管理し、どちらか一方が失敗したらもう片方も取り消し、どちらも成功したときに初めて全体を成功として確定する。

A.15 供給者関係 †

• A.15.1 供給者関係における情報セキュリティ
  • A.15.1.1 供給者関係のための情報セキュリティの方針
  • A.15.1.2 供給者との合意におけるセキュリティの取扱い
  • A.15.1.3 ICTサプライチェーン
• A.15.2 供給者のサービス提供の管理
  • A.15.2.1 供給者のサービス提供の監視及びレビュー
  • A.15.2.2 供給者のサービス提供の変更に対する管理

解説 †

この項目は、供給者がアクセスできる組織の資産の保護を確実にするため行う管理策である。

• ICTサプライチェーンとは
  企業における調達、製造、物流、販売、サービスといった行程を「供給の鎖」(サプライチェーン)として捉え、それに関わる情報を互いに共有管理して最適化を図る経営手法、または情報システムのことをいう。
  サプライチェーンの各工程の個別最適ではなく、全体最適を図っていくことが重要とされている。
  リードタイム短縮や在庫抑制によって、顧客満足度の向上を図りながら、コスト削減および収益拡大につなげる。

A.16 情報セキュリティインシデント管理 †

• A.16.1 情報セキュリティインシデントの管理及びその改善
  • A.16.1.1 責任及び手順
  • A.16.1.2 情報セキュリティ事象の報告
  • A.16.1.3 情報セキュリティ弱点の報告
  • A.16.1.4 情報セキュリティ事象の評価及び決定
  • A.16.1.5 情報セキュリティインシデントへの対応

解説 †

• 情報セキュリティインシデントの管理及びその改善は、情報セキュリティインシデントの管理に、一貫性のある効果的な取組み方法を用いることを確実にするため行なう。
• 情報セキュリティの事象及び弱点の報告は、情報システムに関連する情報セキュリティの事象及び弱点を、時機を失しない是正処置を講じることができるやり方で連絡することを確実にするため行なう。
  

A.17 事業継続マネジメントにおける情報セキュリティの側面 †

• A.17.1 情報セキュリティ継続
  • A.17.1.1 情報セキュリティ継続の計画
  • A.17.1.2 情報セキュリティ継続の実施
  • A.17.1.3 情報セキュリティ継続の検証、レビュー及び評価

• A.17.2 冗長性
  • A.17.2.1 情報処理施設の可用性

解説 †

• 事業継続計画（Business continuity planning、BCP）は「競争的優位性と価値体系の完全性を維持しながら、組織が内外の脅威にさらされる事態を識別し、効果的防止策と組織の回復策を提供するためハードウェア資産とソフトウェア資産を総合する計画」のこと。事業継続と復旧計画（Business Continuity & Resiliency Planning、BCRP）とも呼ばれる。
• 情報セキュリティの継続が事業継続マネジメント（BCM という。）プロセス又は災害復旧管理（DRM という。）プロセスに織り込まれているか否かを判断することが望ましい。
• 事業継続及び災害復旧に関する正式な計画が策定されていない場合，通常の業務状況とは異なる困難な状況においても，情報セキュリティ要求事項は変わらず存続することを，情報セキュリティマネジメントの前提とすることが望ましい。

• 事業継続管理は、情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに、それらから重要な業務プロセスを保護し、さらに、事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため行なう。
• 情報セキュリティに対して"追加的な"BIA を実施するための時間及び労力を軽減するには，通常の BCM又は DRM における BIA に，情報セキュリティに関する側面を織り込むことが推奨される。すなわち，情報セキュリティ継続に関する要求事項が，BCM プロセス又は DRM プロセスにおいて明確に定められているということである。
• BCMに関する情報が，JIS Q 22301，ISO 22313　及び ISO/IEC 27031　に示されている。

• 冗長性とは 余分なもの、余剰がある、重複しているという意味である。IT用語では、主に余裕のある状態、二重化など、ポジティブな意味合いで使われることが多い。 データ圧縮などにおいては、効率性の妨げになる余剰分を排除するという場合に本来の余剰、重複の意味で使われることもある。 コンピュータシステムでは、耐障害性を高めるためにネットワークを含むシステム全体を二重化して予備システムを準備することを冗長化といい、冗長化によって信頼性、安全性を確保した状態を冗長性があるという。
• 企業は，情報システムの可用性に関する業務上の要求事項を特定することが望ましい。

A.18 順守 †

• A.18.1 法的及び契約上の要求事項の順守
  • A.18.1.1 適用法令及び契約上の要求事項の特定
  • A.18.1.2 知的財産権(IPR)
  • A.18.1.3 記録の保護
  • A.18.1.4 プライバシー及び個人を特定できる情報(PII)の保護
• A.18.2 情報セキュリティのレビュー
  • A.18.2.1 情報セキュリティの独立したレビュー
  • A.18.2.2 情報セキュリティのための方針群及び標準の順守
  • A.18.2.3 技術的順守のレビュー

解説 †

• 法的要求事項の順守は、法令、規則又は契約上のあらゆる義務、及びセキュリティ上のあらゆる要求事項に対する違反を避けるため行なう。
  
• 情報セキュリティ方針及び標準の順守、並びに技術的コンプライアンスは、組織のセキュリティ方針及び標準類へのシステムの順守を確実にするため行なう。
  
• 情報システム監査に対する考慮事項は、情報システム監査手続の有効性を最大限にするため、及び情報システム監査手続への／からの干渉を最小限にするため行なう。

2013年版での新規認証取得支援、運用維持・改善のコンサルティングを行っております。 †

御見積りは信頼と実績のタテックスまでお問合せください。 †

　　　お問合せは、ここをクリック→お問合せ