e知識「e-chishiki.com」では、インドでの著名なIT著者、IT教育者、eセキュリティーの大家により作成された様々な種類のプログラミング言語に関する技術的なコンテンツを知識情報データーベースとして提供します。
特集
ISO 27001に関する誤解
Avinash Kadam
本記事は多くの組織に対して、私が今までに実施したISO27001に関するコンサルティング、導入、および主任審査員コースを含む様々な教育、といった経験に基づいて書いています。最近ではこの基準に関する誤解が見受けられるため、それらを明らかにするのが本記事の目的です。
ISO 27001の発展
ISO 27001は英国のBS 7799基準に基づいて制定されたものです。BS 7799標準は2部構成となっており、第1部のBS 7799-1は「情報セキュリティ管理実施基準」として発行され、ベストプラクティスや指針、推奨例を提供します。この基準はISOに採用され、ISO 17799として発行されましたが、最近、これはISO 27002として再発行されています。
第2部のBS 7799–2は「情報セキュリティ管理システム仕様」であり、監査や第3者認証の基準として発行されました。BS7799-1が提唱するベストプラクティスに従い、情報セキュリティマネジメントシステム(ISMS)を導入した組織であっても、BS 7799-2に認証されるとは限りません。1999年から2005年の間、認証を申請した全ての企業は、BS 7799-2の認証を得ることができませんでした。ISOは2005年に新しい基準としてISO 27001を定めました。それ以来、ISO 27001はBS 7799-2基準に取って代わるものとして定着しました。
ISO 27001(以前のBS 7799-2)はBS 7799-1、またはISO 17799の簡易版ではありません。ISO 27001はISMSの要求基準であり、認証を希望する組織の適合性を外部監査により評価するために利用されます。
