ISO 27001に準拠したISMSの実装を開始したいと思います。ISO2700xファミリは多くの規格で構成されており、その多くは業界固有の規格ドキュメントに準拠していることがわかりました。
私の質問は:実装を開始するときに購入/読むために最も必要なドキュメントはどれですか?
外部のパートナーに実装の支援を依頼しますが、現時点ではコストを管理者に伝える必要があります。
ISO2700Xシリーズの標準間には、「ISMS標準ファミリ」とも呼ばれるいくつかの依存関係があり、最初から明確ではないため、質問は完全に正当化されます。
幸い、そのための図があります。
すべての標準が何をしているかは、その名前からいくらか推測できます。だからここに ショート リスト:
語彙基準:
要件基準:
ガイドライン基準:
ISO/IEC 27004、情報セキュリティ管理-測定
ISO/IEC 27005、情報セキュリティリスク管理
ISO/IEC TR 27008、情報セキュリティ管理に関する監査人のためのガイドライン
ISO/IEC 27013、ISO/IEC 27001およびISO/IEC 20000‑1の統合実装に関するガイダンス
セクター固有のガイドライン基準:
ISO/IEC TR 27015、金融サービスの情報セキュリティ管理ガイドライン
ISO/IEC 27017、クラウドサービスのISO/IEC 27002に基づく情報セキュリティ管理の実践コード
これらすべてを必要とするわけではありません。見落としを防ぐには、ISO27000から始めるのが最善です。ここでは、ISMS標準ファミリ内のすべての依存関係について説明します。幸い、この標準はISO Webサイトで無料で入手できますが、少し隠されています1。あなたが何が欲しいかを理解した後、あなたはどの基準を買うべきかを知るべきです。
しかし、ここで重要な部分はこれです:標準を購入するためのコストは、おそらくすべてのコストと比較してわずかです(標準あたり100 CHF +)。 ISMSを実装し、監査の準備をするときに必要です。これは非常に長く、やや費用のかかるプロセスです。 ISOに200スイスフランを支払うことになると心配するのは高すぎるので、これについては間違った考え方です。
1次のサイトにアクセスできます: https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html または「公開されている標準」を探します。