コンプライアンスとフレームワーク
ISO/IEC 27001
別称: ISO 27001, 27001
定義
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
ISO/IEC 27001 は、国際標準化機構(ISO)と国際電気標準会議(IEC)が共同で発行する、情報セキュリティマネジメントの代表的な国際規格です。現行の 2022 年版は、情報セキュリティマネジメントシステム(ISMS)を確立・運用・監視・継続的に改善するための要求事項を定め、リスクアセスメント、適用宣言書、マネジメントレビューなどを含みます。附属書 A には、ISO/IEC 27002 と整合した 93 項目の参照管理策が記載されています。組織は認定された第三者認証を取得でき、B2B 契約・公共調達・サプライチェーンのデューデリジェンスにおいて世界的に広く認知されています。
例
- SaaS 事業者が欧州の大企業向け契約獲得のため ISO/IEC 27001 認証を取得。
- 銀行が規制リスクとオペレーションリスクの管理に ISMS を活用。
関連用語
ISO/IEC 27002
ISO/IEC 27001 附属書 A の情報セキュリティ管理策に対する詳細な実装ガイダンスを提供する国際的なベストプラクティス集。
SOC 2
SOC 2 — definition coming soon.
NIST サイバーセキュリティフレームワーク
米国 NIST が公開した任意のリスクベース フレームワークで、サイバーセキュリティの成果を 6 つのコア機能に整理する。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
Security Posture
Security Posture — definition coming soon.