概要

ISO/IEC27001は「情報セキュリティマネジメントシステム」の要求事項を規定した国際規格です。2005年に初版が発行され、2013年に改定が行われました。
国際電気標準会議(IEC)との共同開発のため、ISO/IEC27001が正式な規格名称となっています。

歴史

1990年代、情報通信技術の普及に伴い、コンピュータがあらゆる業種で利用されるようになり、それと同時に、堅牢な情報セキュリティマネジメントシステムを構築するには、コンピューターシステムだけではなく、人的資源など、その他の経営資源を含めた組織全体のマネジメントが必要であるとする考え方が広まりました。
こうした時流の後押しを受け、2005年に国際標準化機構(ISO)と国際電気標準会議(IEC)が1995年に英国規格協会(BSI)によって規定された英国規格 BS 7799-2を基盤に共同開発したのがISO/IEC27001:2005です。
その後、ISO9001、ISO14001など他のマネジメントシステム規格との統合的な運用を可能とするため、マネジメントシステムの共通要素を有した2013年版が発行されました。

目的

情報の機密性、完全性及び可用性を維持し、かつ、リスクを適切に管理しているという信頼を利害関係者に与えることにあります。

メリット

ISO/IEC27001に基づく情報セキュリティマネジメントシステムを適切に導入することで、例えば以下のようなメリットが期待できるでしょう。
◆リスクアセスメントによる情報資産とリスクの可視化により、情報インシデントの低減または抑制につながる。
◆事業プロセスと連携した管理策を継続的に改善する仕組みを構築し、情報セキュリティの維持・強化を行うことができる。
◆機密性だけでなく、完全性、可用性のバランスを取れた対策をとることで、安全性と効率性の両立を図ることができる。
◆リスクマネジメントを適切に運用・維持しているという信頼を利害関係者に与えることができる。