ISO27000(ISO27001&27002)を実装する際、どこで規格をダウンロードして確認できるのでしょうか。実装を開始したいのですが、どこから始めればいいのか少し悩んでいます。
一部のサイトでは、標準の実装に関するベストプラクティスが含まれていると思われる一部のPDFの販売を提案していますが、現時点では、標準を確認し、実装の開始方法について自分の意見を述べる必要があります。
文書化の公式ルートは ISO:IECを通じて -であり、論文の費用はそれぞれ134スイスフランです。
さまざまな団体がガイダンスペーパーを持っています。たとえば [〜#〜] isaca [〜#〜] ISMSの実装、Cobit、ITIL、ISO27001の調整などのトピックに関する一連のISO27001資料を提供しますが、 ISACAメンバーになる(必要な場合は、どうしたらいいか聞いてください:-)
または、コンサルタントを雇ってニーズを調査し、何をすべきかを理解することもできます。例として、私は多くの大規模組織がセキュリティ機能をISO27001:2005に合わせるのを支援しました-多くの場合、費用がかかり過ぎる可能性があるため、認定を得るのではなく、ISO27001に基づくガバナンスおよびセキュリティフレームワークがもたらす利点を得ることができます。
ただし、いくつかの無料のソースから多くの優れた情報を入手できます。
27000自体は無料ですが、ファミリーの他の標準には費用がかかると思います。
ISOとIEC自身から http://www.iso.org/iso/home/store.htm または http://webstore.iec.ch/ から
通常、お住まいの国の標準化団体からも入手できます。標準ノルウェーであるノルウェーの場合 http://www.standard.no/ にあります。
次の項目を確認してください。
私の知る限り、ほとんどのISO標準ドキュメントは自由に入手できず、ISOストア( http://www.iso.org/iso/home/store.htm )または自国のISOメンバー、例えばDINドイツで。(お金を節約するための最終的なトリックについては、以下の私のコメントを参照してください。)
ISOのWebサイトにあるISO27000:2012の無料の合法コピーについては、このリンクをクリックしてください http://standards.iso.org/ittf/PubliclyAvailableStandards/index.html
ISO27001規格に従うことに膨大な量が含まれることを考えると、特に認定に至るまで行く場合、何らかの形でトレーニングを受けることをお勧めします。
提供されているトレーニングの一部(すべてではありません)は、トレーニング料金の一部として独自の規格のコピーを提供します(つまり、あなたもその料金を支払いますが、地域の規格当局に直接連絡する必要はありません)。
もちろん、これは単に標準を購入するよりも費用がかかります。実際に実装するかどうかを決定する前に、少なくとも自分で読んだ方がいいかもしれませんが、実装したい場合は、そうするために助けが必要になります。
そうは言っても、それは主に会社の目標に依存します。完全な認証を取得する場合は、すぐにISO27001の主要な実装者トレーニングに会社を派遣してください(ちなみに、経営陣が行うべき標準義務の条項の1つ) ISMSの実装と保守にリソースを投入します(つまり、あなたに投資することを意味します)。
セキュリティを改善するためのツールとして標準を実装することを検討している場合、または単にそれについて興味がある場合は、はい、おそらくそれを読むだけで十分です。
もちろん、あなたが尋ねたときを考えると、あなたは Rory's answer をたどってすでにそれを購入している可能性があります。特に、ISO27001から始めたあなた自身の経験は、この質問に出くわした他の人にとって非常に貴重なものになるかもしれません。最初に何をしましたか、何をすすめますか?覚えておいてください あなた自身の質問に答えても大丈夫です 。