ISO/IEC 27005:2008とは

「ISO/IEC 27005:2008」は、2008年に国際標準化機構(ISO)と国際電気標準会議(IEC)が策定した情報セキュリティ管理とリスク管理プロセスにかかわる作業を規格化したガイドライン。情報セキュリティを管理するためのトータルなリスクマネジメント体系(=ISMS)における一連の規格群「ISO/IEC 27000シリーズ」に属している。

「ISO/IEC 27000シリーズ」は情報セキュリティ管理におけるプライバシー、機密、情報技術といった広範なセキュリティ問題等を網羅しており、現在のところ、以下の4つの規格が策定済みである。

ISO/IEC 27001(組織のISMSを認証するための要求事項)
ISO/IEC 27002(ISMS実践のための規範)
ISO/IEC 27005(情報セキュリティのリスクマネジメント)
ISO/IEC 27006(認証/登録プロセスの要求仕様)

「ISO/IEC 27005:2008」は、情報セキュリティの中でリスク管理にかかわる作業を規格化し,そのガイドラインを提示する。

情報セキュリティ・リスク管理プロセスの構成要素と各要素の目的は以下の通りである。

状況規定=リスク管理の境界を定義
リスク分析(リスク特定/評価の段階)=リスクの程度を評価
リスク調査(リスク分析/評価の段階)=意志の決定と、組織の目標考慮
リスク対応(リスク対応/許容の段階)=リスクの低減、状態維持、回避、移動
リスク情報の伝達=意志決定の担当者とそのほかの関係者との間で、リスク情報の交換/共有を通じてどのようにリスクを管理/合意するか
リスク監視/レビュー=早い段階で組織の視点から好機を捉えることと、刻一刻と変わるリスク状況を随時把握しておくこと

企業において、情報セキュリティ管理活動におけるリスク管理を実現するための指針としてこの「ISO/IEC 27005:2008」が活用されることが期待される。

セキュリティ・リスク管理の新たな標準規格「ISO/IEC 27005:2008」(ITpro)

セキュリティ用語辞典一覧ページへ

関連キーワード:

ISMS

セキュリティポリシー

リスクマネジメント

  • 【ゑ】ウェブのリンクは 地雷原
  • カテゴリートップへ
  • 本日より「大江戸セキュリティくろすわーど」がスタートしました!!