ISO 2700xの情報の定義
ISO 27000、27001、27002の最近のバージョンを検索しましたが、「情報」の定義が見つかりませんでした。どこで見つけることができますか? 「情報」はどこに定義されていますか?それとも他の標準を見る必要がありますか?
明確にするために、ISO 27000ファミリーの標準は情報の保護についてではありません。 情報セキュリティ管理システム(ISMS)の標準を定義することです。
「情報」は焦点ではなく、Wordを定義する必要はありません。標準ファミリの要点は、組織に情報とは何か、どのように保護する必要があるかを定義させることです。
0.2このドキュメントの目的
ISMSファミリの標準には、次の標準が含まれます。
a)ISMSおよびそのようなシステムを認証するものの要件を定義します。
...
ISMSの要件の定義には、「情報」とは何か、それを保護する必要があるかどうか/どのように保護する必要があるかを明確にすることが含まれます。
だから、あなたはそれが心配していない規格のファミリーから何かを期待していると私は言うでしょう。
グーグルで情報の定義を調べると、「特定の配置または一連の事柄によって伝えられたり表現されたりするもの」や、「何かまたは誰かについて提供または学習された事実」のようなものが得られます。
したがって、組織で定義されているISO 27001のコンテキストでこれを採用すると、このようになります。
たとえば、組織内でのアプリケーション開発について説明し、特定の経路をたどっているとします。プロセスがAで始まり、Bに進み、最後にCに到達したとしましょう。
このプロセスでは、プロセスのフローについて説明しました。ここでは、組織内でアプリケーション開発のプロセスがどのように行われるかを部外者に伝えています。これは情報の例です。
上で説明したように、それが見られるコンテキストを変更すると変化します。ソフトウェアテストプロセスは、アプリケーション開発プロセスが提供したものとはまったく異なる情報を提供する可能性があります。部門への人の採用は、完全にユニークな情報を生成します。
したがって、コンテキストが変化すると、取得する情報も変化することがわかります。
ISO 27001の目的は、生成された情報を保護するために、組織内にフレームワークを構築することです。
すべてのプロセスで生成した情報は、組織に固有のものです。他の人または組織がそれを手に入れたら、彼らは自分の組織で(あなたの情報を使用して)モデルを簡単に再作成し、明らかに(あなたが所有していたはずの)利益を得ます。