コンプライアンスとフレームワーク
ISO/IEC 27002
別称: ISO 27002, 27002
定義
ISO/IEC 27001 附属書 A の情報セキュリティ管理策に対する詳細な実装ガイダンスを提供する国際的なベストプラクティス集。
ISO/IEC 27002 は ISO/IEC 27001 の補完規格で、情報セキュリティ管理策の選定・実装・運用に関する詳細なガイダンスを提供します。2022 年版では管理策を「組織的」「人的」「物理的」「技術的」の 4 つのテーマに整理し、合計 93 件の管理策を定義しています。各管理策には目的・実装ガイダンス・関連情報が記載されます。ISO/IEC 27001 と異なり ISO/IEC 27002 自体は認証対象ではありませんが、ISMS の設計、セキュリティ ポリシーの策定、附属書 A 管理策との整合性確保において、組織やコンサルタントが用いる実務リファレンスとなっています。
例
- セキュリティ アーキテクトが 27002 を参照してアクセス管理ポリシーを設計。
- コンサルタントが 27002 の管理策を顧客のセキュリティ ポリシーにマッピング。
関連用語
ISO/IEC 27001
情報セキュリティマネジメントシステム(ISMS)の要求事項を定める国際規格で、組織は正式な認証を取得できる。
NIST SP 800-53
米国 NIST が発行する、連邦情報システムおよび多くの民間採用者向けの包括的なセキュリティ・プライバシー統制カタログ。
セキュリティ統制
情報資産への脅威を予防・検知・対応するために用いられる、技術的・管理的・物理的な対策。
Secure Coding
Secure Coding — definition coming soon.
コンプライアンス
法令・規制・契約上の義務、および社内のセキュリティ要件を、文書化された統制・証跡・継続的評価によって満たす取り組み。
Security Posture
Security Posture — definition coming soon.