ISO 27001
定義
ISO/IEC 27001はISO(国際標準化機構)とIEC(国際電気標準会議)が発行する情報セキュリティ管理システム(ISMS: Information Security Management System)の国際規格(現在の最新版は2022年版)です。「組織の状況把握→リーダーシップ→計画→支援→運用→パフォーマンス評価→改善」のPDCAサイクルと、附属書A(93の管理策を4テーマ×管理策)で情報資産を体系的に保護します。認証機関による第三者審査に合格することで「ISO 27001認証」を取得でき、取引先・顧客・投資家へのセキュリティ対策の証明として活用できます。リスクアセスメントを起点に必要な管理策を選択・実施・維持するため、「すべてを守る」のではなく「リスクベースで優先対応する」合理的なセキュリティ体制を構築できます。NIST CSF・SOC 2・PCI DSS・クラウドセキュリティ(ISO 27017/27018)など関連標準との整合性が高く、複数のコンプライアンス対応を一元化する基盤として機能します。
関連用語
よくある質問
ISO 27001とは?
情報セキュリティ管理システム(ISMS)の国際規格。リスクベースのアプローチで情報資産を保護する管理体制を構築・運用・評価・改善(PDCAサイクル)する。第三者認証取得が可能。
同じカテゴリの用語(フレームワーク)
アプリ、グループ、サイトなど複数の権限を業務単位でまとめ、申請・承認・期限付きで付与する単位。…
既存のアクセス権が現在も必要かを、所有者や上長が定期的に再確認するプロセス。権限棚卸しの実務手法の一つ。…
ユーザー、グループ、管理者、外部共有、OAuthアプリなどのアクセス権が現在も妥当かを定期的に確認する活動。…
AIシステムの安全性、悪用耐性、プロンプト耐性、データ漏えいリスクを攻撃者視点で検証する評価活動。…
資産が事業やセキュリティに与える重要度。脆弱性対応、監視、復旧順序の優先度判断に使う。…
組織が保有・利用する端末、サーバー、SaaS、クラウド資産、データ、アカウントを一覧化した台帳。脆弱性管理や権限棚卸しの…