web-dev-qa-db-ja.com

ISO 27001から-何を購入しますか?

ISO 27001に準拠したISMSの実装を開始したいと思います。ISO2700xファミリは多くの規格で構成されており、その多くは業界固有の規格ドキュメントに準拠していることがわかりました。

私の質問は:実装を開始するときに購入/読むために最も必要なドキュメントはどれですか?

外部のパートナーに実装の支援を依頼しますが、現時点ではコストを管理者に伝える必要があります。

3
Tobias

ISO2700Xシリーズの標準間には、「ISMS標準ファミリ」とも呼ばれるいくつかの依存関係があり、最初から明確ではないため、質問は完全に正当化されます。

幸い、そのための図があります。

ISMS family of standards relationships 出典:ISO/IEC 27000:2016

すべての標準が何をしているかは、その名前からいくらか推測できます。だからここに ショート リスト:

語彙基準:

  • ISO/IEC 27000、情報セキュリティ管理システム—概要と語彙

要件基準:

  • ISO/IEC 27001、情報セキュリティ管理システム—要件
  • ISO/IEC 27006、情報セキュリティ管理システムの監査と認証を提供する団体の要件
  • ISO/IEC 27009、ISO/IEC 27001のセクター固有のアプリケーション—要件

ガイドライン基準:

  • ISO/IEC 27002、情報セキュリティ管理のための行動規範
  • ISO/IEC 27003、情報セキュリティ管理システム導入ガイダンス
  • ISO/IEC 27004、情報セキュリティ管理-測定

  • ISO/IEC 27005、情報セキュリティリスク管理

  • ISO/IEC 27007、情報セキュリティ管理システム監査のガイドライン
  • ISO/IEC TR 27008、情報セキュリティ管理に関する監査人のためのガイドライン

  • ISO/IEC 27013、ISO/IEC 27001およびISO/IEC 20000‑1の統合実装に関するガイダンス

  • ISO/IEC 27014、情報セキュリティのガバナンス
  • ISO/IEC TR 27016、情報セキュリティ管理—組織経済学

セクター固有のガイドライン基準:

  • ISO/IEC 27010、部門間および組織間通信のための情報セキュリティ管理
  • ISO/IEC 27011、ISO/IEC 27002に基づく電気通信組織向けの情報セキュリティ管理ガイドライン
  • ISO/IEC TR 27015、金融サービスの情報セキュリティ管理ガイドライン

  • ISO/IEC 27017、クラウドサービスのISO/IEC 27002に基づく情報セキュリティ管理の実践コード

  • ISO/IEC 27018、PIIプロセッサとして機能するパブリッククラウド内の個人識別情報(PII)の保護のための行動規範
  • ISO/IEC 27019、エネルギー公益事業業界に固有のプロセス制御システムのためのISO/IEC 27002に基づく情報セキュリティ管理ガイドライン

これらすべてを必要とするわけではありません。見落としを防ぐには、ISO27000から始めるのが最善です。ここでは、ISMS標準ファミリ内のすべての依存関係について説明します。幸い、この標準はISO Webサイトで無料で入手できますが、少し隠されています1。あなたが何が欲しいかを理解した後、あなたはどの基準を買うべきかを知るべきです。

しかし、ここで重要な部分はこれです:標準を購入するためのコストは、おそらくすべてのコストと比較してわずかです(標準あたり100 CHF +)。 ISMSを実装し、監査の準備をするときに必要です。これは非常に長く、やや費用のかかるプロセスです。 ISOに200スイスフランを支払うことになると心配するのは高すぎるので、これについては間違った考え方です。

1次のサイトにアクセスできます: https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html または「公開されている標準」を探します。

4
Tom K.