ISO 27001とISO 27002の両方を読むと、おそらく、ISO 27002の方がはるかに詳細かつ厳密であることに気づくでしょう。ではISO 27001は何のためにあるのでしょうか。
まず、ISO 27002はマネジメント規格ではないので、認証を受けることはできません。ではマネジメント規格とは何なのでしょうか。 マネジメント規格とはシステムの運営方法を定義する規格です。ISO 27001の場合、情報セキュリティマネジメントシステム(ISMS)を定義しているので、ISO 27001に対する認証が可能なのです。
情報セキュリティマネジメントシステムでは、情報セキュリティを計画・導入・監視・レビュー・改善する必要があります。ISMSでは、経営陣が明瞭な責任を持ち、目標を設定・測定・レビューし、内部監査を実施する必要があります。このような要素はすべて、ISO 27002ではなく、ISO 27001で定義されます。
ISO 27002の管理策は、ISO 27001の[link]附属書Aの管理策と同じ名前になっています。たとえば、ISO 27002の管理策6.1.6は「関係当局との連絡」という名前ですが、ISO 27001のA.6.1.6も「関係当局との連絡」です。 けれども、違うのはその細かさです。平均すると、ISO 27002では一つの管理策を一ページ全体で説明していますが、ISO 27001では各管理策に一行しか割り当てていません。
最後の違いは、ISO 27002では、特定の組織にのみ当てはまる管理策とそうでない管理策を区別していないことです。一方、ISO 27001では、各管理策がリスクを減らすために必要かどうか、そして、必要な場合にはどの範囲に適用すべきかを特定するために、実施すべきリスクアセスメントを規定しています。
問題は、 なぜ2つの規格が別々に存在するのか、なぜ両者のいい処だけを取って1つの規格にまとめないのか、ということです。 その答えは使い易さです。もし単一の規格だったら、大量すぎ複雑すぎて実用にならないでしょう。
ISO 27000シリーズの規格は、それぞれ特定のテーマで設計されています。組織の情報セキュリティの基礎を構築して、そのフレームワークを考案したい場合には、ISO 27001を利用すべきだし、管理策を導入したい場合には、ISO 27002を利用すべきだし、リスクアセスメントやリスク対応を実施したい場合には、ISO 27005などを利用すべきです。
結論としては、ISO 27002に記載された詳細がなければ、ISO 27001の附属書Aで定義された管理策は導入できないと言えるでしょう。けれども、ISO 27001の管理フレームワークがないと、ISO 27002は、情報セキュリティに熱心な人の孤独な努力に過ぎず、首脳部からの承認も受けられなければ、実際の組織に影響を与えることもないでしょう。
—
また、弊社のウェビナーISO 27001 Foundations Part 3: Annex A overviewもご利用ください。