アンドレアギースラー| 2019年6月3日

ISO 27001規格は、要件と情報セキュリティ管理システム（ISMS）の実装に関するガイダンスを提供する構造。管理システムとして、ISO 27001は継続的な改善に基づいています。この記事では、これがISO27001の要件と構造にどのように反映されるかについて詳しく説明します。

標準の2つの主要部分

規格は2つの部分に分かれています。最初の主要部分は、11の節（0から10）で構成されています。附属書Aと呼ばれる第2部は、114の統制目標と統制のガイドラインを提供します。条項0から3（導入、範囲、規範的参照、用語および定義）は、ISO27001規格の導入を設定します。次の条項4から10は、企業が標準に準拠することを希望する場合に必須のISO 27001要件を提供しますが、この記事でさらに詳しく説明します。

標準の付録Aは、必須ではないが、リスク管理プロセスの一部として選択される統制のリストを含む条項とその要件。詳細については、「ISO 27001の基本ロジック：情報セキュリティはどのように機能するか」の記事を参照してください。

条項4：組織のコンテキスト

情報セキュリティ管理システムを正常に実装するための1つの前提条件は、組織のコンテキストを理解することです。外部および内部の問題、ならびに利害関係者を特定して検討する必要があります。要件には規制の問題が含まれる場合がありますが、それをはるかに超える場合もあります。

これを念頭に置いて、組織はISMSの範囲を定義する必要があります。 ISO 27001は会社にどの程度適用されますか？

「ISO27001に従って組織のコンテキストを定義する方法」、「ISO 27001に従って関係者を特定する方法」の記事で、組織のコンテキストの詳細をお読みください。およびISO22301、およびISMSスコープの定義方法。

条項5：リーダーシップ

適切なリーダーシップのためのISO27001の要件は多岐にわたります。マネジメントシステムには、トップマネジメントのコミットメントが必須です。目標は、組織の戦略的目標に従って確立する必要があります。 ISMSに必要なリソースを提供することや、ISMSに貢献する人を支援することは、他の義務の例です。

さらに、経営トップは情報セキュリティに従ってポリシーを確立する必要があります。このポリシーは文書化する必要があり、組織内および利害関係者に伝達する必要があります。

ISO 27001標準の要件を満たし、レポートを作成するには、役割と責任も割り当てる必要があります。 ISMSのパフォーマンス。

ISO 27001のトップマネジメントの詳細については、情報セキュリティ実装のトップマネジメントの視点、ISO27001およびISO22301のトップマネジメントの役割と責任、および何をすべきかをご覧ください。 ISO 27001に従って情報セキュリティポリシーを記述しますか？

条項6：計画

ISMS環境での計画では、常にリスクと機会を考慮に入れる必要があります。情報セキュリティリスク評価は、信頼できる健全な基盤を提供します。したがって、情報セキュリティの目的はリスク評価に基づく必要があります。これらの目標は、会社の全体的な目標に合わせる必要があります。さらに、目標は社内で推進する必要があります。これらは、社内のすべての人に向けて取り組むセキュリティ目標を提供し、社内と連携します。リスク評価とセキュリティ目標から、付録Aにリストされている管理に基づいて、リスク処理計画が導き出されます。

リスクと機会をよりよく理解するには、ISO27001リスク評価

治療–6つの基本的なステップ。制御目標の詳細については、ISO 27001制御目標の記事を参照してください–なぜそれらが重要なのですか？企業の方向性の詳細については、ISO27001に準拠した企業の戦略的方向性と情報セキュリティの調整の記事を参照してください。

条項7：サポート

リソース、従業員の能力、意識とコミュニケーションは、原因をサポートするための重要な問題です。もう1つの要件は、ISO 27001に従って情報を文書化することです。情報は、管理するだけでなく、文書化、作成、更新する必要があります。 ISMSの成功をサポートするには、適切な一連のドキュメントを維持する必要があります。

トレーニング、認識、コミュニケーションの詳細については、ISO27001とISO22301のトレーニング&認識の実行方法とコミュニケーションプランの作成方法の記事をご覧ください。 ISO27001に準拠。ドキュメント管理の詳細については、ISO27001のドキュメント管理& BS25999-2の記事を参照してください。

第8項：操作

プロセスは情報セキュリティを実装するために必須です。これらのプロセスは、計画、実装、および制御する必要があります。リスクアセスメントと治療は、以前に学んだように、トップマネジメントの頭の中にある必要がありますが、実行に移す必要があります。

リスクアセスメントと治療の詳細については、ISO 27001リスクアセスメント：方法資産、脅威、脆弱性を照合し、ISO 27001リスク分析、およびISO 27001：2013リスク評価と処理プロセスのこの無料の図で結果と可能性を評価する方法。

第9条：パフォーマンス評価

ISO 27001規格の要件は、情報セキュリティ管理システムの監視、測定、分析、および評価を想定しています。部門自体がその作業をチェックする必要があるだけでなく、さらに内部監査を実施する必要があります。設定された間隔で、トップマネジメントは組織のISMSを確認する必要があります。

パフォーマンス、監視、および測定の詳細については、ISO 27001ISMSの主要業績評価指標およびISOでの監視と測定の実行方法に関する記事を参照してください。 27001。

条項10：改善

改善は評価のフォローアップです。不適合は、行動を起こし、該当する場合は原因を取り除くことによって対処する必要があります。さらに、PDCA（Plan-Do-Check-Act）サイクルが必須ではなくなったとしても、継続的な改善プロセスを実装する必要があります（これについては、「PDCAサイクルは新しいISO規格から削除されましたか？」の記事を参照してください）。 PDCAサイクルは、堅固な構造を提供し、ISO27001の要件を満たしているため推奨されることがよくあります。

ISO 27001の改善について詳しくは、成熟度モデルを使用して継続的な改善を実現する記事をご覧ください。

付録A（規範的）参照管理の目的と管理

付録Aは、参照管理の目的と管理の役立つリストです。A.5からA.18コンプライアンスまでの情報セキュリティポリシー、このリストは、ISO 27001要件を満たすことができるコントロールを提供し、ISMSの構造を導き出すことができます。上記のリスク評価を通じて特定されたコントロールは、検討および実装する必要があります。

For付録Aの詳細については、記事を読んでくださいISOのクイックガイド付録Aの27001コントロールとISO27001付録Aコントロールのドキュメントの構成方法。

ISMSの要件

実装と標準自体は、一見、困難または複雑に見える場合があります。 、一部の要件は論理的に聞こえない場合があるためです。しかし、それについてより深く学ぶことで、物事はうまくいき、ISO27001の実装がセキュリティにもたらす包括性を理解し始めます。準拠するとすぐに、標準が構造化されたガイドラインを提供していることに気付くでしょう。実装に関する決定に満足するでしょう。

ISO 27001要件の詳細については、この無料の条項をダウンロードしてください。 -ISO27001の条項の説明。

ここでISO27001ドキュメントの詳細を知ることができますか？

スタートアップ業界の意思決定者向け、ISO 27001に投資する必要がある理由と、実装によって会社を後押しする方法を読むことを強くお勧めします。

作成者について：

AndrewGieslerは内部監査人です、ドイツのケルンに拠点を置き、ISO 27001、ISO 9001、およびEUGDPRの分野を専門としています。彼女は公認情報システム監査人（CISA）であり、ISACAによってリスクおよび情報システム管理（CRISC）の認定を受けています。