ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項
こんにちは、丸山満彦です。
ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements が公表されていますね。。。
前回は2013年ですから、約9年ぶりの改訂ということですかね。。。
ちなみに、ISO/IEC 27002は今年の2月に改訂されていますね。。。
● ISO - International Organization for Standardization
ISO/IEC 27001:2022 Information security, cybersecurity and privacy protection — Information security management systems — Requirements | ISO/IEC 27001:2022 情報セキュリティ、サイバーセキュリティ及びプライバシー保護 - 情報セキュリティマネジメントシステム - 要求事項 |
Abstract | 概要 |
This document specifies the requirements for establishing, implementing, maintaining and continually improving an information security management system within the context of the organization. This document also includes requirements for the assessment and treatment of information security risks tailored to the needs of the organization. The requirements set out in this document are generic and are intended to be applicable to all organizations, regardless of type, size or nature. Excluding any of the requirements specified in Clauses 4 to 10 is not acceptable when an organization claims conformity to this document. | この文書は,情報セキュリティマネジメントシステムを,組織の文脈の中で確立し,実施し,維持し,継続的に改善するための要求事項を規定するものである。また、組織のニーズに合わせた情報セキュリティリスクの評価及び処理に関する要求事項を含む。本文書で規定する要求事項は一般的なものであり、組織の種類、規模、性質にかかわらず、すべての組織に適用されることを意図している。組織が本文書への適合を主張する場合、第4項から第10項までに規定された要求事項のいずれかを除外することは容認されない。 |
目次...(訳は仮訳...)
Foreword | まえがき |
Introduction | 序文 |
1 Scope | 1 適用範囲 |
2 Normative references | 2 引用規格 |
3 Terms and definitions | 3 用語及び定義 |
4 Context of the organization | 4 組織の状況 |
4.1 Understanding the organization and its context | 4.1 組織とその状況の理解 |
4.2 Understanding the needs and expectations of interested parties | 4.2 利害関係者のニーズ及び期待の理解 |
4.3 Determining the scope of the information security management system | 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 |
4.4 Information security management system | 4.4 情報セキュリティマネジメントシステム |
5 Leadership | 5 リーダーシップ |
5.1 Leadership and commitment | 5.1 リーダーシップ及びコミットメント |
5.2 Policy | 5.2 方針 |
5.3 Organizational roles, responsibilities and authorities | 5.3 組織の役割、責任及び権限 |
6 Planning | 6 計画 |
6.1 Actions to address risks and opportunities | 6.1 リスク及び機会に対処する行動 |
6.2 Information security objectives and planning to achieve them | 6.2 情報セキュリティ目的及びそれを達成するための計画策定 |
7 Support | 7 支援 |
7.1 Resources | 7.1 資源 |
7.2 Competence | 7.2 力量 |
7.3 Awareness | 7.3 認識 |
7.4 Communication | 7.4 コミュニケーション |
7.5 Documented information | 7.5 文書化した情報 |
8 Operation | 8 運用 |
8.1 Operational planning and control | 8.1 運用の計画及び管理 |
8.2 Information security risk assessment | 8.2 情報セキュリティリスクアセスメント |
8.3 Information security risk treatment | 8.3 情報セキュリティリスク対応 |
9 Performance evaluation | 9 パフォーマンス評価 |
9.1 Monitoring, measurement, analysis and evaluation | 9.1 監視、測定、分析及び評価 |
9.2 Internal audit | 9.2 内部監査 |
9.3 Management review | 9.3 マネジメントレビュー |
10 Improvement | 10 改善 |
10.1 Continual improvement | 10.1 継続的改善 |
10.2 Nonconformity and corrective action | 10.2 不適合及び是正処置 |
Annex A Information security controls reference | 附属書A 情報セキュリティマネジメント参考資料 |
Bibliography | 参考文献 |
ちなみに、ISO/IEC 27000ファミリーの規格等の検討状況・・・
● JIPDEC - 事業紹介 - 事業一覧 - ISMS・ITSMSの普及
・国際動向
現在の最新版
・2022.07.22 [PDF] ISO/IEC 27000ファミリー規格について
● まるちゃんの情報セキュリティ気まぐれ日記
・2020.06.13 佐藤慶浩さんによる「ISO/IEC 27701「プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張」の解説」
・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...
・2020.04.03 佐藤慶浩さんによる「15分でわかる「ISO/IEC 27701国際規格(プライバシー情報マネジメントのためのISO/IEC 27001及びISO/IEC 27002への拡張-要求事項及び指針)の概要紹介」を講演録」
ぐっと時代は遡り...
・2011.02.11 SC27 Platinum Book -Twenty Years of ISO/IEC JTC 1/SC27- Information Security Standardisation
・2009.08.08 JIPDEC ISO/IEC27000ファミリー
« G7 金融セクター 「ランサムウェアに対するレジリエンスに関するG7の基礎的要素」「サードパーティのサイバーリスクマネジメントに関するG7の基礎的要素 」(2022.10.13) | Main | 世界経済フォーラム (WEF) 規制当局が取締役会に求めるサイバーセキュリティのポイント »
Comments