Get 2 Documentation Toolkits for the price of 1
Limited-time offer – ends March 28, 2024

ISO 27001対ISO 27002

ISO 27001とISO 27002の両方を読むと、おそらく、ISO 27002の方がはるかに詳細かつ厳密であることに気づくでしょう。ではISO 27001は何のためにあるのでしょうか。

まず、ISO 27002はマネジメント規格ではないので、認証を受けることはできません。ではマネジメント規格とは何なのでしょうか。 マネジメント規格とはシステムの運営方法を定義する規格です。ISO 27001の場合、情報セキュリティマネジメントシステム(ISMS)を定義しているので、ISO 27001に対する認証が可能なのです。

情報セキュリティマネジメントシステムでは、情報セキュリティを計画・導入・監視・レビュー・改善する必要があります。ISMSでは、経営陣が明瞭な責任を持ち、目標を設定・測定・レビューし、内部監査を実施する必要があります。このような要素はすべて、ISO 27002ではなく、ISO 27001で定義されます。

ISO 27002の管理策は、ISO 27001の[link]附属書Aの管理策と同じ名前になっています。たとえば、ISO 27002の管理策6.1.6は「関係当局との連絡」という名前ですが、ISO 27001のA.6.1.6も「関係当局との連絡」です。 けれども、違うのはその細かさです。平均すると、ISO 27002では一つの管理策を一ページ全体で説明していますが、ISO 27001では各管理策に一行しか割り当てていません。

最後の違いは、ISO 27002では、特定の組織にのみ当てはまる管理策とそうでない管理策を区別していないことです。一方、ISO 27001では、各管理策がリスクを減らすために必要かどうか、そして、必要な場合にはどの範囲に適用すべきかを特定するために、実施すべきリスクアセスメントを規定しています。

問題は、 なぜ2つの規格が別々に存在するのか、なぜ両者のいい処だけを取って1つの規格にまとめないのか、ということです。 その答えは使い易さです。もし単一の規格だったら、大量すぎ複雑すぎて実用にならないでしょう。

ISO 27000シリーズの規格は、それぞれ特定のテーマで設計されています。組織の情報セキュリティの基礎を構築して、そのフレームワークを考案したい場合には、ISO 27001を利用すべきだし、管理策を導入したい場合には、ISO 27002を利用すべきだし、リスクアセスメントやリスク対応を実施したい場合には、ISO 27005などを利用すべきです。

結論としては、ISO 27002に記載された詳細がなければ、ISO 27001の附属書Aで定義された管理策は導入できないと言えるでしょう。けれども、ISO 27001の管理フレームワークがないと、ISO 27002は、情報セキュリティに熱心な人の孤独な努力に過ぎず、首脳部からの承認も受けられなければ、実際の組織に影響を与えることもないでしょう。

また、弊社のウェビナーISO 27001 Foundations Part 3: Annex A overviewもご利用ください。

Advisera Dejan Kosutic
著者
Dejan Kosutic
Leading expert on cybersecurity & information security and the author of several books, articles, webinars, and courses. As a premier expert, Dejan founded Advisera to help small and medium businesses obtain the resources they need to become compliant with EU regulations and ISO standards. He believes that making complex frameworks easy to understand and simple to use creates a competitive advantage for Advisera's clients, and that AI technology is crucial for achieving this.

As an ISO 27001 and NIS 2 expert, Dejan helps companies find the best path to compliance by eliminating overhead and adapting the implementation to their size and industry specifics.
Connect with Dejan: