国際標準化機構(ISO)は、さまざまな分野のさまざまな標準を収集および管理するグローバルな組織です。多くの業界がインターネットやデジタルネットワークに依存するようになった今日の世界では、ISO標準のテクノロジー部分にますます重点が置かれています。
特に、ISO27001標準は機能するように設計されています。組織の情報セキュリティ管理システム(ISMS)のフレームワークとして。これには、データの制御および使用方法に関連するすべてのポリシーとプロセスが含まれます。 ISO 27001は、特定のツール、ソリューション、または方法を義務付けていませんが、代わりにコンプライアンスチェックリストとして機能します。この記事では、ISO 27001認定がどのように機能し、それが組織に価値をもたらす理由について詳しく説明します。
FreeEssentialを入手する米国のデータ保護コンプライアンスおよび規制のガイド
- ISO27001認定を取得する方法
- ISO27001コンプライアンス基準
- ISO27001コンプライアンス監査管理
- ISO27001コンプライアンスを維持する方法
- ISO27001コンプライアンスFAQ +リソース
ISO27001の概要
ISOは、2005年に最初に規格ファミリーをリリースし、それ以来、さまざまなポリシーを定期的に更新しました。 ISO 27001については、最新の主要な変更が2013年に導入されました。ISO27001の所有権は、実際にはISOと、主に電子システムに焦点を当てているスイスの組織組織である国際電気標準会議(IEC)との間で共有されています。
ISO 27001の目標は、現代の組織が情報とデータを管理する方法の標準のフレームワークを提供することです。リスク管理はISO27001の重要な部分であり、企業または非営利団体がそれぞれの長所と短所がどこにあるかを確実に理解できるようにします。 ISOの成熟度は、データで信頼できる安全で信頼できる組織の兆候です。
あらゆる規模の企業がサイバーセキュリティの重要性を認識する必要がありますが、組織内にITセキュリティグループを設定するだけでは不十分です。データの整合性を確保するのに十分です。 ISMSは、セキュリティに関連するすべてのエンドツーエンドプロセスをカバーするため、特に複数の場所や国にまたがるグループにとって重要なツールです。
ISMS(情報セキュリティ管理システム)が存在する必要があります。リスク管理を目的とした組織内の生きた一連のドキュメントとして。数十年前、企業は実際にISMSを印刷して、従業員の意識を高めるために配布していました。今日、ISMSは安全な場所、通常は知識管理システムにオンラインで保存する必要があります。従業員はいつでもISMSを参照でき、変更が実装されたときにアラートを受け取ることができる必要があります。 ISO 27001認定を求める場合、ISMSは、組織のコンプライアンスレベルを決定するために使用される主要な参考資料です。
ISO 27001は、情報セキュリティの向上を目指すグループまたはエンティティのガイドラインとして役立ちます。メソッドまたはポリシー。この分野でクラス最高を目指している組織にとって、ISO27001認証は究極の目標です。完全なコンプライアンスとは、ランサムウェアなどの脅威から組織を保護するために、サイバーセキュリティの分野におけるすべてのベストプラクティスに従っていると見なされていることを意味します。
医療や医療など、非常に機密性の高いデータ分類を扱う特定の業界では金融分野では、ISO27001認証はベンダーやその他のサードパーティの要件です。 Varonis Data Classification Engineのようなツールは、これらの重要なデータセットを特定するのに役立ちます。ただし、ビジネスの業界に関係なく、ISO27001への準拠を示すことは大きなメリットになります。具体的には、この認証は、組織が安全で信頼できることを顧客、政府、規制機関に証明します。これにより、市場での評判が高まり、データ侵害やセキュリティインシデントによる金銭的損害や罰則を回避できます。
ISO 27001に準拠していない場合はどうなりますか?組織が以前に認証を取得している場合、将来の監査に失敗し、コンプライアンスの指定を失うリスクがあります。また、特定の地域でビジネスを運営できなくなる可能性もあります。
ISO27001認定を取得する方法
ISO 27001認証の取得は通常、複数年にわたるプロセスであり、内部および外部の利害関係者の両方からの多大な関与が必要です。チェックリストに記入して承認のために提出するほど簡単ではありません。認証の申請を検討する前に、ISMSが完全に成熟しており、テクノロジーリスクのすべての潜在的な領域をカバーしていることを確認する必要があります。
ISO 27001認証プロセスは通常、次の3つのフェーズに分かれています。
- 組織は認証機関を雇用し、認証機関がISMSの基本的なレビューを実施してメインを探します。文書の形式。
- 認証機関は、ISO 27001の個々のコンポーネントが組織のISMSと照合される、より詳細な監査を実行します。ポリシーと手順が適切に守られているという証拠を示す必要があります。主任審査員は、認証が取得されているかどうかを判断する責任があります。
- コンプライアンスがチェックされていることを確認するために、認証機関と組織の間でフォローアップ監査がスケジュールされます。
ISO27001規格とは何ですか?
ISO 27001認証の試みに着手する前に、組織内のすべての主要な利害関係者は、規格の配置と使用方法に精通している必要があります。 ISO27001は12のセクションに分かれています。
- はじめに–情報セキュリティとは何か、組織がリスクを管理する理由を説明します。
- 範囲–の高レベルの要件をカバーします。すべてのタイプまたは組織に適用されるISMS。
- 標準参照– ISO27000と27001標準の関係を説明します。
- 用語と定義–標準内で使用される複雑な用語をカバーします。 。
- 組織のコンテキスト–ISMSの作成と保守に関与する必要のある利害関係者を説明します。
- リーダーシップ–組織内のリーダーがISMSのポリシーと手順にコミットする方法を説明します。 。
- 計画–組織全体でリスク管理を計画する方法の概要を説明します。
- サポート–情報セキュリティに関する意識を高め、責任を割り当てる方法を説明します。
- 運用–リスクの管理方法と文書化の方法について説明します。監査基準を満たすために実行する必要があります。
- パフォーマンス評価–ISMSのパフォーマンスを監視および測定する方法に関するガイドラインを提供します。
- 改善–ISMSを継続的に更新する方法を説明します。特に監査後の改善。
- 参照管理の目的と管理–監査の個々の要素を詳述する付録を提供します。
ISO 27001監査管理とは何ですか?
ISO 27001のドキュメントでは、ベストプラクティスを14の個別のコントロールに分類しています。認証監査は、コンプライアンスチェック中にそれぞれからの管理をカバーします。規格の各部分の概要と、それが実際の監査にどのように変換されるかを次に示します。
- 情報セキュリティポリシー–ポリシーをISMSに記述し、コンプライアンスを確認する方法について説明します。 。監査人は、手順がどのように文書化され、定期的にレビューされているかを確認します。
- 情報セキュリティの組織–組織のどの部分がどのタスクとアクションに責任を持つべきかを説明します。監査人は、役割に基づいた高レベルの責任を持つ明確な組織図を見ることを期待します。
- 人事セキュリティ–開始、退社、またはポジションの変更時にサイバーセキュリティについて従業員に通知する方法について説明します。監査人は、情報セキュリティに関して、オンボーディングとオフボーディングの明確に定義された手順を見たいと思うでしょう。
- 資産管理–データ資産の管理に関連するプロセスと、それらを保護および保護する方法について説明します。監査人は、組織がハードウェア、ソフトウェア、およびデータベースをどのように追跡しているかを確認します。証拠には、データの整合性を確保するために使用する一般的なツールまたは方法を含める必要があります。
- アクセス制御–従業員のアクセスをさまざまな種類のデータに制限する方法に関するガイダンスを提供します。監査人には、アクセス権限の設定方法とその維持の責任者について詳細に説明する必要があります。
- 暗号化–暗号化のベストプラクティスについて説明します。監査人は、DES、RSA、AESなど、機密データと使用される暗号化のタイプを処理するシステムの部分を探します。
- 物理的および環境的セキュリティ–建物と内部機器を保護するためのプロセスについて説明します。監査人は、オフィスやデータセンターへのアクセスが許可される方法など、物理的なサイトの脆弱性をチェックします。
- 運用セキュリティ–データを安全に収集および保存する方法に関するガイダンスを提供します。これは、新しいプロセスを採用しています。 2018年に一般データ保護規則(GDPR)が可決されたことにより、緊急性が高まりました。監査人は、データフローの証拠と、情報が保存されている場所の説明を確認するよう求められます。
- 通信セキュリティ–内のすべての送信のセキュリティをカバーします組織のネットワーク。監査人は、電子メールやビデオ会議など、使用されている通信システムの概要と、データを安全に保つ方法を確認することを期待します。
- システムの取得、開発、および保守–安全な環境でシステムを管理するためのプロセスの詳細。監査人は、組織に導入された新しいシステムが高水準のセキュリティに保たれているという証拠を求めます。
- サプライヤーとの関係–セキュリティを確保しながら組織がサードパーティと対話する方法について説明します。監査人は、機密データにアクセスできる可能性のある外部エンティティとの契約を確認します。
- 情報セキュリティインシデント管理–セキュリティ問題に対応するためのベストプラクティスについて説明します。監査人は、組織内でインシデント管理がどのように処理されているかを確認するために、ファイアドリルを実行するように依頼する場合があります。ここで、SIEMのようなソフトウェアを使用して、異常なシステム動作を検出および分類すると便利です。
- ビジネス継続性管理の情報セキュリティの側面–ビジネスの中断や主要な変更の処理方法について説明します。監査人は一連の理論的混乱を引き起こす可能性があり、ISMSがそれらから回復するために必要な手順をカバーすることを期待します。
- コンプライアンス– ITARなど、組織に関連する政府または業界の規制を特定します。監査人は、ビジネスが運営されているすべての分野の完全なコンプライアンスの証拠を見たいと思うでしょう。
多くの組織が犯す1つの間違いは、ISO認証のすべての責任をローカルITチームに課すことです。情報技術はISO27001の中核ですが、プロセスと手順は組織のすべての部分で共有する必要があります。この概念は、devopsをdevsecopsに移行するというアイデアの中心にあります。
ISO 27001認定監査の準備をするときは、コンプライアンスの経験を持つ外部グループに支援を求めることをお勧めします。たとえば、Varonisグループは完全なISO 27001認定を取得しており、受験者が監査中に使用するために必要な証拠を準備するのに役立ちます。 Varonisは、組織のISMSを実践するのに役立つDatalertなどのソフトウェアソリューションも提供しています。
ISO27001コンプライアンスを維持するためのヒント
最初のISO27001認定を取得することは、完全に準拠するための最初のステップにすぎません。監査が完了した後、従業員は勤勉さを失う傾向があるため、高い基準とベストプラクティスを維持することは組織にとってしばしば課題です。これが起こらないようにするのはリーダーシップの責任です。
新入社員が入社する頻度を考えると、組織は四半期ごとにトレーニングセッションを開催して、すべてのメンバーがISMSとその使用方法を理解できるようにする必要があります。また、既存の従業員は、ISO27001の基本的な目標を強化する年次テストに合格する必要があります。
コンプライアンスを維持するために、組織は3年に1回独自のISO27001内部監査を実施する必要があります。サイバーセキュリティの専門家は、リスク管理の実践を強化し、ギャップや欠点を探すために、毎年それを行うことを推奨しています。 VaronisのDatadvantageのような製品は、データの観点から監査プロセスを合理化するのに役立ちます。
ISO 27001タスクフォースは、組織全体の利害関係者とともに形成されるべきです。このグループは毎月会合を開き、未解決の問題を確認し、ISMSドキュメントの更新を検討する必要があります。このタスクフォースの成果の1つは、次のようなコンプライアンスチェックリストです。
- すべてのISO27001アクティビティの管理サポートを取得します。
- ISO27001コンプライアンスを継続的なものとして扱います。プロジェクト。
- ISO27001が組織のさまざまな部分にどのように適用されるかを定義します。
- サイバーセキュリティ戦略の概要を示すISMSポリシーを作成し、更新します。
- リスク評価の方法論を定義して、問題を特定して処理する方法を把握します。
- 問題が発見されたら、定期的にリスク評価と処理を実行します。
- どのISO27001コントロールが適用可能かを判断するために、適用性ステートメントを作成します。
- すべての利害関係者が脅威がどのように軽減されているかを知ることができるように、リスク処理計画を作成します。脅威モデリングを使用すると、このタスクを達成するのに役立ちます。
- コントロールの測定を定義して、ISO27001のベストプラクティスがどのように実行されているかを理解します。
- ISOで概説されているすべてのコントロールと必須手順を実装します。 27001標準。
- 物理的またはデジタル資産にアクセスできる組織内のすべての個人に対してトレーニングおよび認識プログラムを実装します。
- 組織の日常業務の一部としてISMSを運用します。
- ISMSを監視して、それが効果的に使用されているかどうかを理解します。
- 内部監査を実行して、継続的なコンプライアンスを評価します。
- 管理者と監査結果を確認します。
- 必要に応じて修正または予防措置を設定します。
ISO 27001クイックガイド:FAQ
ISO 27001認定のプロセスと範囲は非常に困難な場合があるため、よくある質問をいくつか取り上げましょう。
Q:ISO27001の要件とは何ですか?
A:ISO 27001の認証を取得するには、組織は規格のすべての側面をカバーするISMSを維持する必要があります。その後、認証機関に完全な監査を要求できます。
Q:ISO 27001認証とはどういう意味ですか?
A:ISO 27001認証とは、組織は外部監査に合格し、すべてのコンプライアンス基準を満たしています。これは、コンプライアンスを宣伝してサイバーセキュリティの評判を高めることができることを意味します。
Q:最新のISO 27001規格とは何ですか?
A:最新の規格は正式にはISO / IECとして知られています。 27001:2013。 2013年にISO27001の2番目の公式版として公開されました。この規格は2019年に最後にレビューおよび確認されたため、変更は必要ありませんでした。
Q:ISO 27001 GDPRに準拠していますか?
A:ISO 27001は主にISMSを開発するためのフレームワークであるため、欧州連合によって制定された一般データ保護規則(GDPR)の特定の規則のすべてを網羅しているわけではありません。ただし、データプライバシーシステムの確立をカバーするISO 27701と組み合わせると、組織はGDPRで指定された要件を完全に満たすことができます。
Q:SOXとSOXの主な類似点または相違点は何ですか。 ISO 27001?
A:ISO 27001は情報とデータの一般的な管理を対象としていますが、サーベンスオクスリー法(SOX)は、米国での財務情報の開示方法に固有のものです。幸いなことに、幅広いデータ管理を行っている企業にとって、ISO 27001認定を取得すると、SOX標準への準拠を証明するのにも役立ちます。
Q:他のISOの目的は何ですか?
A:ISOは、ISO 27001の下にある一連の標準を維持しています。これらはすべて、フレームワークから概念を取り入れ、組織内でベストプラクティスを確立する方法のより具体的なガイドラインに飛び込んでいます。
リソース
- ISO27001がサイバーリスクを軽減する方法に関するグリーンペーパー
- ISO27001監査を成功させる方法に関するウェビナー
- ISO27001コンプライアンスに関するケーススタディ
会社の規模や所属する業界に関係なく、ISO27001認証を取得することは大きなメリットになります。ただし、これは困難な作業であるため、コンプライアンスプロジェクト中に他の利害関係者やリソースを活用することが重要です。 Varonis Edgeなどのツールを使用すると、サイバー攻撃がネットワークに到達する前に停止すると同時に、ISO27001への準拠の証拠を示すことができます。