情報セキュリティマネジメント
ISO/IEC 27001 JIS Q 27001
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)に関する国際規格です。さまざまな情報資産を守り有効活用するマネジメントシステム規格として全世界で広く普及しています。情報の機密性・完全性・可用性の3つをバランスよくマネジメントし、情報を有効活用するための枠組みです。
対象組織
業種・業態に関わらず、あらゆる組織が認証を取得することができます。
認証取得の効果
- 企業・組織のガバナンス強化
経営的要素を加味した企業・組織のガバナンスを強化した仕組みが構築できる - リスクアセスメントの改善
組織の状況や特性に応じたリスクアセスメント方式を採用することが可能 - 新たなリスクへの対応
新たなセキュリティコントロール(供給者関係、ICTサプライチェーン、プロジェクトのリスク)導入による、情報セキュリティの更なる強化を実現 - 企業・組織内での意識向上
経営者の情報セキュリティに対する関与が深まるとともに社員の情報セキュリティ意識の向上を実現 - 企業イメージの向上
顧客からの信頼確保や企業イメージの向上に貢献
規格の構成
まえがき
序文
0.1 概要
0.2 他のマネジメントシステム規格との両立性
1 適用範囲
2 引用規格
3 用語及び定義
4 組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5 リーダーシップ
5.1 リーダシップ及びコミットメント
5.2 方針
5.3 組織の役割、責任及び権限
6 計画
6.1 リスク及び機会に対処する活動
6.2 情報セキュリティ目的及びそれを達成するための計画策定
7 支援
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化した情報
8 運用
8.1 運用の計画及び管理
8.2 情報セキュリティリスクアセスメント
8.3 情報セキュリティリスク対応
9 パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10 改善
10.1 不適合及び是正処置
10.2 継続的改善
附属書A(規定)
管理目的及び管理策