こんな方におすすめ!
・ISMS(情報セキュリティマネジメント)担当になりたてで知識の少ない方
・ISOの各規格の違いについて知りたい方
ISO27001とISO27002と聞いて、2つの違いが分かりますか?
ほぼ一緒に違いないっキュ
俺の話を聞け
1.ISO規格について
そもそもISO規格って何っキュ?
そこからかい
1-1.ISOとは?
スイスのジュネーブに本拠地を置く、非政府機関のことを指します。正式名称は「国際標準化機構」になります。
主な役割としては、以下のような取り組みを行うことになります。
- 国家間の取引を円滑にするための取り組み
- 上記円滑化のための規格の制定
組織名なんだっキュね
1-2.ISO規格について
今回説明していくISO27001やISO27002は、上記で説明したISOが制定した取り決めになります。取り決めの種類によって番号が決められており、標準化が行われた年度が:の後に付けられています。
ISO規格では、製品そのものに対しての取り組みや今回説明していくマネジメントシステムのような様々な種類が存在しています。
製品規格としては、ねじや非常口のマークが有名だな。
また、ISO規格は上記の通り、世界的な組織のため、取得している企業は世界に通ずるアピールポイントとすることができるメリットがあります。
2.ISO27001とISO27002の共通点
そもそも2つの国際規格がどのようなものなのか?ということから説明していきましょう。それぞれの国際規格は、以下の2組織によって設立された合同専門委員会によって作成、改訂が行われています。
それぞれの規格には、内容の異なる規格が定められており、それぞれ内容が異なっています。
憲法と条文の関係性をイメージすると分かりやいぞ
ISO27001とISO27002はISMS(情報セキュリティマネジメントシステム)に関する取り決め、という点では共通しています。ISO/IEC 27000ファミリーという、「情報セキュリティの運用や管理、リスク軽減などに関する取り決め」をとめた同じ規格に属している仲間なのです。
それでは、この2つの違いは何なのか?ということになってきます。
それはズバリ、「具体的に何の取り決めをしているか」つまり、中に書かれている内容が違ってきています。
それでは、どのように内容が違うのかを細かく見ていきましょう。
3.ISO27001とISO27002の違い
2つの取り決めは「情報セキュリティを管理、運用するためのもの」であることについては分かりました。では、2つの違いは何なのか?
それは、「内容」です。
ISO27001→「情報マネジメントを扱うための要求」
ISO27002→「情報マネジメントを扱うために守った方がいい具体的な内容」
他のISO27000ファミリーについても同様になります。
おまけ
詳しく勉強したい方向けの本↓
はてなブログ参加中です!
よろしくっキュ!