ISO 27001: ITセキュリティの新標準規格
ISO 27001は、国際標準化機構が情報セキュリティ・マネジメント・システム(ISMS)のために作成した新しい国際標準規格である。ISMSとは、人とプロセスとITシステムに関する適切な方法論を使って組織の情報を安全に管理するための計画的な方法である。ISMSのためのベスト・プラクティスとして、ビジネスの連続性を保証し、損害を最小化し、投資収益率とビジネス・チャンスを最大化するための広範囲にわたる計画立案がある。ISO 27001は、この計画立案プロセスをどう進めるかを示し、識別すべき構成要素を規定する。人、プロセス、実践が必須要素である。
ISO 27001は正式にはISO/IEC 27001:2005と呼ばれ、昨年の10月に発行された。この規格は英国のBS7799-2規格およびISO 17799規格に代わるものである。ただし、ISO 17799はISO 27002に番号変更される可能性があるが、ISOはISO 17799の番号変更に関する最終ステートメントをまだ出していない。
これらの標準規格の国際化によって、公認のISMS認証に対する要求が生まれる。将来のクライアントは、あなたの組織がISO 27001認証を獲得しているかどうか問うかもしれない。ISO 27001認証は「マーケティング」価値を提供するだけでなく、ITマネージャがPlan-Do-Check-Actアプローチに基づいてフレームワークを作成するのに役立つ。
あなたの組織が米国企業改革法(Sarbanes-Oxley Act)の影響を受ける場合は、ISO 27001がフレームワークを手に入れる最善の方法かもしれない。あなたの組織が米国外にあるなど、まだ米国企業改革法の影響を受けない場合は、あまり関係ないかもしれない。
認証がうまくいくためには、整然としたアプローチ、スコープに対する注意深い考慮、および組織の情報セキュリティ・ニーズに対する完璧な理解が必要になる。ISO 27001認証を獲得すれば、堅固な手続きと規則によってヒューマン・エラーのリスクが軽減される。認証プロセスでは、資格を持った外部監査人の訪問を何回か受け、ドキュメントとプロセスが再審査される。規定に従っていない点があれば、次の訪問までに訂正しなければならない。同じ組織は2つとないので、認証プロセスに要する期間も一定ではない。
広く認められたベスト・プラクティスを取り入れた統合的で包括的な情報セキュリティ・マネジメント・システムを開発するための米国企業改革法の要件とISO 27001との間には明確な関係がある。ISO 27001は米国企業改革法の遵守を達成し証明するための第一歩である。ISO 27001認証を獲得すれば、米国企業改革法の404条の要件を満たしていることをクライアントに示すことにもなる。
ISO 27001規格については、Ansi.org($107)やBritish Standards Online(£90)でオンラインで購入して読むことができる。
あなたの組織が米国企業改革法やその他のセキュリティ法に従って行動しているなら、ISO 27001規格を見てみるとよいだろう。ベスト・プラクティスのための国際標準規格およびフレームワークとして非常によいものだ。たとえISO 27001認証を獲得する予定がなくても、この規格のPlan-Do-Check-Actアプローチはすべての組織に役立つだろう。
Mikael VingaardはCISSP認定資格を持っており、BSDConsultでISO標準規格ならびにOpen/FreeBSD OSのサポートと教育に従事している。
NewsForge.com 原文
