ISO/IEC 27001:2022およびISO/IEC 27002:2022は、「対となる」規格であり、ISO/IEC 27001の附属書Aを通じて密接に関連しています。
ISO/IEC 27001は、情報セキュリティマネジメントシステム(ISMS)の要求事項を定義し、認証範囲内の情報資産およびそれに関連するプロセスに伴うリスクに対処するために使用できる管理策を提示しています。
ISO/IEC 27002は、ISMSで求められる管理策の実施方法について詳細な指針を提供するガイダンス
文書です。
背景のタイムライン
- 1995年 BS7799 – 英国規格が発行されました。
- 1997年 BS7799の適応 – オランダ
- 1999年 AS/NZS 4444 – オーストラリア/ニュージーランド規格が発行されました。
- 1999年 BS7799-2仕様書発行
- 2000年 BS7799-1 Code of PracticeがISO規格(ISO/IEC 17799)として急遽制定されました。
- 2005年 ISO/IEC 17799は、電子メール、暗号化など、新しい技術を更新しました。
- 2005年 ISO/IEC 27001仕様書発行 – 監査要求事項が含まれ、統制は以下のように調整されている。
- ISO 17799
- 2006年 ISO 27006発行 – 認証機関向けガイドライン
- 2007年 ISO 17799 が ISO 27002:2005 に改番されました。
- 2009年 ISO 27000 ISMS Vocabularyが発行されました。
- 2013年 ISO/IEC 27001およびISO/IEC 27002は、ISO Annex SLの要件と状況の変化を反映するために更新されました。
- 2022年 ISO/IEC 27002:2022がリリースされました。 ISO 27001:2022の変更に伴い、付録Aを更新しました。
この系列で公開されている規格には、以下のようなものがあります。
- 27000 – 語句および定義
- 27001 – 要求事項
- 27002 – 情報セキュリティ管理
- 27003 – 実施ガイダンス
- 27005 – 情報セキュリティリスク管理
- 27007 – ISMSの監査のためのガイドライン
- 27008 – 情報セキュリティ統制の監査に関するガイドライン
- 27011 – 電気通信事業者のためのISMSのためのガイドライン
- 27013 – ISMSとITILの統合
- 27014 – 情報セキュリティガバナンス
- 27015 – 金融サービス組織向けISMS
- 27017 – クラウドにおけるセキュリティ管理
- 27018 – パブリッククラウドにおけるPIIの保護
- 27031 – ICTに焦点を当てた事業継続に関する規格
- 27701 – プライバシー情報管理