ISO 27001・27017 あいえすおーにまんななせんいち・にまんななせんじゅうなな
ISO 27001ISO 27017ISMS情報セキュリティクラウドセキュリティ
ISO 27001・27017について教えて
ISO 27001とは
ISO/IEC 27001は、ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の国際標準規格です。組織が情報資産を適切に保護するための管理体制(ポリシー・手順・技術的対策)を構築・運用・維持・継続改善していることを、第三者の認定機関が審査・認証します。
ISO 27001は「何をするか」(管理策)ではなく、「どう管理するか(PDCAサイクル)」を規定するマネジメント規格です。そのため、特定の技術に依存しない普遍的な枠組みとなっており、あらゆる業種・規模の組織に適用できます。
ISO 27017とは
ISO/IEC 27017は、クラウドサービスに特化した情報セキュリティ管理のガイドラインです。ISO 27001の附属書Aの管理策に加え、クラウド特有のコントロール(仮想化・クラウドサービス顧客と提供者間の役割分担等)を規定しています。クラウドサービスプロバイダー(CSP)とクラウドサービス顧客(CSC)の両方に適用されます。
ISO 27001の主な管理領域
| 管理領域(Annex A) | 内容例 |
|---|---|
| 情報セキュリティポリシー | 経営層によるポリシーの承認・公表 |
| 人的資源のセキュリティ | 採用時のスクリーニング、退職時の手続き |
| 物理的・環境的セキュリティ | 入退室管理、機器の処分 |
| アクセス制御 | ユーザーアクセス管理、特権アクセス制限 |
| 暗号化 | 暗号化ポリシー、鍵管理 |
| インシデント管理 | インシデントの報告・対応・学習 |
| 事業継続管理 | 災害時のBCP/DR計画 |
歴史と背景
ISO 27001の前身はBSI(英国規格協会)が1995年に発行したBS 7799です。2005年にISO/IEC 27001:2005として国際標準化され、2013年に大幅改訂(ISO/IEC 27001:2013)、2022年にISO/IEC 27001:2022として更新されました。日本では経済産業省が「情報セキュリティ管理基準」としてISO 27001を採用しており、ISMSの国内認定機関としてJIPDECが審査を行っています。
取得のメリットとコスト
関連する規格
| 規格 | 内容 |
|---|---|
| ISO/IEC 27001:2022 | ISMS国際標準(最新版) |
| ISO/IEC 27002:2022 | 情報セキュリティ管理策の実践規範 |
| ISO/IEC 27017:2015 | クラウドサービス向けISMS管理策 |
| ISO/IEC 27018:2019 | クラウドでの個人情報保護 |