web-dev-qa-db-ja.com

US FIPS ISO 27001に相当?

私は米国政府のFIPSのような標準、FIPS 140、ポリシーと手順、およびSP800-53で列挙されているようなセキュリティ制御に精通しています。 ISO 27001に精通している。

A ISO 27001のプレビュー はオンラインで入手できますが、役立つ情報がないティーザーにすぎません。

米国政府のFIPSまたはISO 27001に相当する特別刊行物とは何ですか?

1
user29925

ISO27k1にマップするFISMA内の単一のドキュメントはありません。代わりに、ISO27k1と同じことを達成するために使用できるいくつかの出版物があります。一般に、ISO27k1の範囲はビジネスに焦点を当てていることに注意してください。 FISMAよりも具体的ではなく、ビジネス指向であると思います。 [〜#〜] atsec [〜#〜] からこのドキュメントをご覧ください。以下は関連する抜粋です。

ここでは、いくつかの基本的な側面で2つがどのように異なるかを比較します。 NISTによって開発されたスキームは、連邦機関、その請負業者、およびユーティリティ(電気、原子力、ガスおよび石油、ダム)、輸送(航空、道路、鉄道、港湾、水路)、公共機関などの重要なインフラストラクチャの一部として関与する人々によって使用されます保健システム/緊急サービス、情報通信、国防、銀行および金融、郵便および海運、農業/食品/水、および化学業界は、法に基づく必須要件を満たすために。これまでに、非常に多くのシステムがこのスキームの下で認定および認定されています。 FISMA標準のスイートは完成に近づいており、リスク評価方法論(SP 199)と客観的評価基準(SP 800-53A)の詳細な統制リスト(SP 800-53)が含まれています。もともとは、技術的な焦点がITシステムの運用面と技術面にしっかりと集中しているため、いくらか「ボトムアップ」アプローチを採用するものとして特徴付けられていました。このフレームワークの焦点は、ITシステムと、その運用のための認証および認定にあります。

  • FIPS Publication 199、連邦情報および情報システムのセキュリティ分類の標準
  • FIPS Publication 200、Federal Information and Federal Information Systemsの最小セキュリティ要件
  • NIST Special Publication 800-18、連邦政府情報システムのセキュリティ計画を策定するためのガイド
  • NIST Special Publication 800-37、Guide for the Security Certification and Accreditation of Federal Information Systems
  • NIST Special Publication 800-30、Risk Management
  • NIST Special Publication 800-53、Federal Information Systemsの推奨セキュリティコントロール
  • NIST Special Publication 800-53A、Guide for Assessing the Security Controls in Federal Information Systems
  • NIST Special Publication 800-59、情報システムを国家安全保障システムとして特定するためのガイド
  • NIST Special Publication 800-60、Guide for Mapping Types of Information and Information Systems to Security Categories

FISMA関連の基準とガイドラインが成熟するにつれ、ベースライン管理セットのアプローチを強化するために使用できるリスク管理フレームワークの重要性が強調されました。

一方、ISO/IEC 27001規格はISO/IEC 9001(品質管理システム)と整合しており、その規格のキャリアで学んだ教訓を利用して、非政府分野のスケーラビリティのニーズに対応し、組織の管理システムが基本的なベストプラクティス管理システムを満たしていることを確認します。パラダイムは、組織が適切に定義されたリスク管理プロセスと評価方法論を確実に持つことにより、特定されたリスクの取り扱いが適切な制御を適用できることを意味し、したがって、組織のシステムも適切に保護されているという保証を得ることができます。この標準は、組織が情報セキュリティを管理できる管理システムを持っていることを確認することに重点を置いています。これは、非常に多種多様な組織にサービスを提供する必要がある非政府分野に必要なアプローチです。したがって、「トップダウン」アプローチを採用しています。 ISO/IEC 27000ファミリに含まれる規格には、次のものがあります。

  • ISO/IEC 27000の基礎と原則
  • ISO/IEC 27001 ISMS要件
  • ISO/IEC 27002セキュリティ管理(情報セキュリティ管理の実施基準)
  • ISO/IEC 27003 ISMS実装ガイダンスISO/IEC 27004情報セキュリティ管理の測定基準と測定ISO/IEC 27005 ISMSリスク
1
Lucas Kauffman