web-dev-qa-db-ja.com

ISO 27000規格の適用範囲は何ですか?

会社が一部のISO 27000シリーズ規格(ISO 27001やISO 27005としましょう)に対して認証を取得したい場合、何が認証される可能性がありますか?つまり、それは組織全体のITプロセス全般ですか?または、その会社で使用されている1つまたは複数のシステムのみが認定されている可能性が高いですか? OR特定の規格に依存していますか(上記のものに興味があるとしましょう)?

会社が特定の規格を選択した場合、規格の一部のみが認証されるように、それを何らかの方法で分解できますか?

2
ZygD

ISO 27000のドキュメントの範囲のうち、27001のみが認証可能な規格です。範囲内の他のものはガイダンスと助言文書です。

ISO 27001実装の最初のステップは、範囲の定義です。私の経験では、「ITプロセス」をスコープとして持つのは珍しいことです。これは通常、ビジネス領域によって定義されます。したがって、たとえば、ビジネスの運用部分(人事などのサポートビジネスユニットを除く)。

ISO 27001の一部の認定を受けることはできません。それは全部かゼロかです。

3
hmallett

ISO 2700Xシリーズは、企業のセキュリティ管理を認定するものです。ちなみにあなたは27001で認定されています。

スコープは会社が定義します。そのためには、例外なく標準の要件(4〜8章)を実装します。

第4章は、デミングサークル(PDCA)を中心に展開し、ISMSのセットアップ、実装と活用、制御とレビュー、および拡張を定義します。

第5章は経営責任、第6章は内部監査、第7章はレビュー、第8章は是正措置と予防措置を扱います。

範囲の定義は、ISO27001の4.2.1 a章と4.2.1 b章に基づいています。組織の境界、情報システムの境界、物理的な境界の多くの側面を調べる必要があります。

通常、規範はガイドラインを提供します。スコープに含まれるべきものとそうでないものの正確な定義はありません。 ISO27002を参照して、優れたプラクティスを提供することもできます。

1
M'vy