ISO/IEC 27002は、情報セキュリティマネジメントシステム(ISMS)の管理策を示した国際規格です。この規格は、組織が情報セキュリティリスクを管理し、情報資産を保護するための具体的なガイドラインを提供します。
背景と目的
ISO/IEC 27002は、ISO/IEC 27001の要求事項に基づき、情報セキュリティ管理策のベストプラクティスを提供することを目的としています。この規格は、組織が情報の機密性、完全性、可用性を確保するための具体的な手段を示しています。
主な内容
ISO/IEC 27002は、以下のような管理策を含んでいます:
- リスクアセスメントおよびリスク対応:情報セキュリティリスクの評価と対応策の策定。
- セキュリティ基本方針:情報セキュリティに関する基本方針の策定と実施。
- 情報セキュリティのための組織:情報セキュリティガバナンスの確立。
- 資産の管理:情報資産の目録作成と分類。
- 人的資源のセキュリティ:従業員の雇用、異動、解雇に伴うセキュリティ対策。
- 物理的及び環境的セキュリティ:コンピュータ機器の保護。
- 通信及び運用管理:システムおよびネットワークの技術的セキュリティ管理。
- アクセス制御:ネットワーク、システム、アプリケーションへのアクセス権制限。
- 情報システムの取得、開発及び保守:アプリケーションへのセキュリティ組込み。
- 情報セキュリティインシデントの管理:違反の予測と対処。
- 事業継続管理:重要なプロセスとシステムの保護、保守、復旧。
- 順守:情報セキュリティポリシー、規格、法律の順守。
2022年の改訂
2022年2月にISO/IEC 27002:2022が発行され、サイバーセキュリティやプライバシー保護に関する管理策が追加されました。新しい管理策には、脅威インテリジェンス、クラウドサービス利用時の情報セキュリティ、データ漏洩防止などが含まれています。
ISO/IEC 27001との関連性
ISO/IEC 27002は、ISO/IEC 27001の附属書Aに記載されている管理策の詳細なガイドラインとして機能します。ISO/IEC 27001はISMSの要求事項を定めた規格であり、ISO/IEC 27002はその要求事項を実現するための具体的な手段を提供します。
ISO/IEC 27002は、組織が情報セキュリティを確保し、リスクを管理するための重要な規格です。
