「ISO/IEC 27005:2022」の概要 | 京都で働くコンサルタントのブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

ブログ画像一覧を見る

このブログをフォローする

「ISO/IEC 27005:2022」の概要

皆さん、こんにちは。
(株)マネジメント総研の小山です。

2022年10月25日に改正された「ISO/IEC 27005:2022」について紹介します。

「ISO/IEC 27005:2022」は『情報セキュリティリスクの管理に関する手引』という規格で、情報セキュリティマネジメントシステム(ISMS)に取組む組織や、情報セキュリティのリスク管理を強化したい組織にとって有用な規格です。

2008年の初版発行後、2011年、2018年に改正され、今回の改正により第4版となります。
 

 

改正による主な変更点は、以下のとおりです。
 

・「ISO/IEC 27001:2022」及び「ISO 31000:2018」に整合された(「ISO 31000:2018」の専門用語、「ISO/IEC 27001:2022」の箇条構造への適合等)。
・リスクシナリオの概念が導入された。
・「事象ベースのアプローチ」と「リスク特定への資産ベースのアプローチ」を対照させて整理された。
・附属書の内容が改訂され、単一の附属書に再構成された。


目次は、以下のとおりです。

1 適用範囲
2 引用規格
3 用語及び定義
 3.1 情報セキュリティリスクに関連する用語
 3.2 情報セキュリティリスクマネジメントに関連する用語
4 この文書の構成
5 情報セキュリティリスクマネジメント
 5.1 情報セキュリティリスクマネジメントプロセス
 5.2 情報セキュリティリスクマネジメントサイクル
6 状況の確定
 6.1 組織の考慮事項
 6.2 利害関係者の基本要求事項の特定
 6.3 リスクアセスメントの適用
 6.4 情報セキュリティリスク基準の確立及び維持
  6.4.1 一般
  6.4.2 リスク受容基準
  6.4.3 情報セキュリティリスクアセスメントを実施するための基準
 6.5 適切な方法の選択
7 情報セキュリティリスクアセスメントプロセス
 7.1 一般
 7.2 情報セキュリティリスクの特定
  7.2.1 情報セキュリティリスクの特定及び記述
  7.2.2 リスク所有者の特定
 7.3 情報セキュリティリスクの分析
  7.3.1 一般
  7.3.2 起こり得る結果のアセスメント
  7.3.3 起こりやすさのアセスメント
  7.3.4 リスクレベルの決定
 7.4 情報セキュリティリスクの評価
  7.4.1 リスク分析の結果とリスク基準との比較
  7.4.2 リスク対応のための分析したリスクの優先順位付け
8 情報セキュリティリスク対応プロセス
 8.1 一般
 8.2 適切な情報セキュリティリスク対応の選択肢の選定
 8.3 情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策の決定
 8.4 決定した管理策とISO/IEC 27001:2022,附属書A の管理策との比較
 8.5 適用宣言書の作成
 8.6 情報セキュリティリスク対応計画
  8.6.1 リスク対応計画の策定
  8.6.2 リスク所有者による承認
  8.6.3 残留している情報セキュリティリスクの受容
9 運用
 9.1 情報セキュリティリスクアセスメントプロセスの実施
 9.2 情報セキュリティリスク対応プロセスの実施
10 関連するISMS プロセスの活用
 10.1 組織の状況
 10.2 リーダーシップ及びコミットメント
 10.3 コミュニケーション及び協議
 10.4 文書化した情報
  10.4.1 一般
  10.4.2 プロセスに関する文書化した情報
  10.4.3 結果に関する文書化した情報
 10.5 監視及びレビュー
  10.5.1 一般
  10.5.2 リスクに影響を与える要因の監視及びレビュー
 10.6 マネジメントレビュー
 10.7 是正処置
 10.8 継続的改善

附属書A (参考) リスクアセスメントプロセスを支援する手法の例
A.1 情報セキュリティリスク基準
 A.1.1 リスクアセスメントに関連する基準
  A.1.1.1 リスクアセスメントの一般的考慮事項
  A.1.1.2 定性的アプローチ
   A.1.1.2.1 結果の尺度
   A.1.1.2.2 起こりやすさの尺度
   A.1.1.2.3 リスクレベル
  A.1.1.3 定量的アプローチ
   A.1.1.3.1 有限尺度
 A.1.2 リスク受容基準
A.2 実践的手法
 A.2.1 情報セキュリティリスクの構成要素
 A.2.2 資産
 A.2.3 リスク源及び望ましい最終状態
 A.2.4 事象ベースのアプローチ
  A.2.4.1 エコシステム
  A.2.4.2 戦略的シナリオ
 A.2.5 資産ベースのアプローチ
  A.2.5.1 脅威の例
  A.2.5.2 ぜい弱性の例
  A.2.5.3 技術的ぜい弱性のアセスメント方法
  A.2.5.4 運用シナリオ
 A.2.6 両方のアプローチで適用可能なシナリオの例
 A.2.7 リスク関連事象の監視


掲載されている図表は、以下のとおりです。

図A.1 情報セキュリティリスクアセスメントの構成要素
図A.2 資産の依存関係のグラフの例
図A.3 エコシステムの利害関係者の特定
図A.4 リスクシナリオに基づくリスクアセスメント
図A.5 SFDTモデル適用の例

表A.1 結果の尺度の例
表A.2 起こりやすさの尺度の例
表A.3 リスク基準に対する定性的アプローチの例
表A.4 対数の起こりやすさ尺度の例
表A.5 対数の結果尺度の例
表A.6 3色のリスクマトリクスと組み合わせた評価尺度の例
表A.7 攻撃の例及び通常の方法
表A.8 DESを表現する動機の分類の例
表A.9 ターゲット目的の例
表A.10 典型的な脅威の例
表A.11 典型的なぜい弱性の例
表A.12 両方のアプローチにおけるリスクシナリオの例
表A.13 リスクシナリオとリスク関連事象監視との関係の例


目次及び図表のタイトルからも分かるとおり、情報セキュリティのリスク管理に関して詳細にまとめられています。

情報セキュリティリスク管理を改善したいとお考えの際には、この規格に目を通されることをおススメします。
 
 

 

ブログ画像一覧を見る

このブログをフォローする