ISO27000(27001)とは何ですか?それを実現する方法は?
私は最近ISO27000に出くわしました。基本的に私が学んだことは、それが組織の監査目的で使用されているということです。私が間違っていたら、それが正確に何であるかわかりますか? ISO 27001監査に利用できるツールと、それについてどのように知ることができますか?簡単な貫通ツールをその目的に使用できますか?
ISO27000は、侵入テストとはほとんど関係がありません。これは、適切なセキュリティガバナンスを有効にする(または有効にする必要がある)ときに組織が実装する必要がある制御のリストを提供するISMS(情報セキュリティ管理システム)標準のコレクションです。
これは概念レベルであり、ポリシーとプロセスの作成に使用できる一連のルールを提供します。
標準は、実装と監査の両方に使用できます。審査員は、あなたがすべての概念を正しく実装したかどうかを確認し、あなたが正しい実装を行ったとみなされた場合は証明書をあなたに与えます。彼らは定義されたポリシーを確認するように要求し、実際の状況に対してこれらをテストします。これはほとんど技術的ではありません。
コントロールの1つ(いくつかあります)では、会社は定期的な攻撃と侵入テストを実行する必要があります。監査人は自分で侵入を行うことはありませんが、関連するレポートを要求します。ポリシーでは、問題に取り組む方法や、リスクを受け入れたり軽減したりする方法も定義されていることがよくあります。監査人はレポートをレビューし、フォローアップがどのように実行されるかを要求します(そしてこれが正しく行われたかどうかをレビューします)
ISO/IEC 27001:2013は、情報セキュリティ管理システム(ISMS)の要件を確立するISOによって推進されている国際規格です。 ISMSの主な目的は、脅威を特定し、セキュリティ制御を実装し、その有効性を測定し、継続的に改善することにより、組織のITリスクを軽減することです。
ISO/IEC 27001:2013は、 ファミリ の1つの標準です。たとえば、ISO 27000には定義、ISO 27002のベストプラクティス(ベストプラクティス!=要件)などがあります...
ISO 27001の主な目的は、監査されることではなく、組織で最初に実装されることです。その後、監査することができます。監査は、ファーストパーティ、セカンドパーティ、またはサードパーティ(認証)から行うことができます。認定された組織によるサードパーティの監査に合格すると、ISO27001準拠としてのISMSの認定が付与されます。
ISO 27001のコンプライアンスを最初に実装せずに監査する場合、たとえばセキュリティポスチャの測定を行う場合、私の意見では、ISO 27001にはいくつかのドキュメントが必要であり、その欠如はあなたを意味しないため、結果は欺くでしょう。安全ではありません(どちらも安全であることを意味しません)。
IMO、ISO 27001について学ぶための最良の方法は、ISOサイトからISO27001およびISO27002規格を購入し、それらを研究することです。