ISO/IEC 27001:2022規格とは?
ISO(国際標準化機構)は、170の国家標準化機関が加盟する独立した非政府国際機関です。ISO/IEC 27001は、ISOと国際電気標準会議(IEC)が共同で発行しているもので、情報セキュリティ管理システム(ISMS)に関する世界で最もよく知られた規格です。ISO/IEC 27001規格は、情報セキュリティ管理システムを確立、導入、維持し、継続的に改善するためのガイダンスをすべての組織に提供します。
ISO規格はサイバーセキュリティの専門家によって国際的に合意され、世界的に広く認知されています。ISO認証は、あらゆる経済セクター(第一次産業だけでなく、あらゆる種類のサービス業や製造業、民間組織、公的組織、非営利組織)の組織が取得可能です。
ISO/IEC 27001への適合とは、組織または事業が、その組織が所有または取り扱うデータのセキュリティに関連するリスクを管理するためのシステムを導入し、このシステムがこの国際規格に明記されているすべてのベストプラクティスおよび原則を採用していることを意味します。
規制 | 現在有効
DORAは5つの柱で構成されており、それぞれが金融サービスのデジタルオペレーショナルレジリエンスの明確な側面に対処するように設計されています。
- ICTリスク管理およびガバナンス:DORAは、経営陣と取締役会メンバーに対し、より大きなデジタルオペレーショナルレジリエンスを効果的に実現するためのICTリスク管理フレームワークを定義、実施、維持する責任を課します。DORAは、金融機関に対し、ICTリスクを効果的かつ慎重に管理するための内部ガバナンスと統制フレームワークを整備することを義務付けています。
- インシデントの報告:金融サービス組織は、攻撃を評価し、顧客や業務への影響を軽減し、当局に報告するために、ICT関連のインシデントを監視、管理、記録、分類、報告するシステムを確立する必要があります。
- デジタルオペレーショナルレジリエンステスト:金融機関は、包括的なデジタルオペレーショナルレジリエンスのテストプログラムを毎年実施する必要があります。DORAはまた、金融機関は、該当する場合、デジタルオペレーショナルレジリエンステストにICTサードパーティプロバイダーを関与させる必要があると概説しています。
- ICTサードパーティリスク:DORAは、ICTサードパーティリスクとリスク軽減におけるその役割に重点を置いています。金融機関は、複数のクラウドプロバイダーなど、EU域外に所在する可能性のある外部のICTプロバイダーに大きく依存しています。従って、金融機関は、ICTサードパーティリスクをICTリスク管理フレームワークの不可欠な要素として含める必要があります。
- 情報共有:DORAはまた、業界のデジタルオペレーショナルレジリエンスを高めるため、サイバー脅威情報とインテリジェンスに関する自発的な情報共有を奨励しています。
ISO規格はサイバーセキュリティの専門家によって国際的に合意され、世界的に広く認知されています。ISO認証は、あらゆる経済セクター(第一次産業だけでなく、あらゆる種類のサービス業や製造業、民間組織、公的組織、非営利組織)の組織が取得可能です。
ISO/IEC 27001は国際規格であり、不遵守に対する罰則はありません。しかし、ISO/IEC 27001:2022認証は、情報セキュリティのベストプラクティスを実施するための組織の誠実な努力を示すことで、データ侵害が発生した場合に、GDPRなどの規制による罰金に対する防御策となる可能性があります。
ISO/IEC 27001がISMSを確立するための要件を規定しているのに対して、ISO/IEC 27002は、ISMS内で適用できる詳細なベストプラクティスと管理策を提供しています。主な違いは、ISO/IEC 27001は組織が認証を取得できる規格であるのに対し、ISO/IEC 27002はそうではないという点です。下表内の要件は、ISO 27001とISO 27002の両方に記載されています。
ISO/IEC 27001:2022への準拠達成のためにThalesがお手伝いできること
Thalesは、付録Aに記載された情報セキュリティ管理に関する必須要件に対応することで、組織がISO/IEC 27001:2022に準拠できるよう支援します。当社は「アプリケーションセキュリティ」、「データセキュリティ」、「IDおよびアクセス管理」のサイバーセキュリティの3つの主要分野で包括的なサイバーセキュリティソリューションを提供しています。
ISO/IEC 27001:2022コンプライアンスソリューション
ISO要件に対応:8. 技術的管理
クラウド、オンプレミス、ハイブリッドモデルのいずれにおいても、アプリケーションとAPIを大規模に保護します。市場をリードする当社の製品ポートフォリオには、Webアプリケーションファイアウォール(WAF)、分散型サービス拒否(DDoS)攻撃や悪意のあるボット攻撃に対する防御、APIセキュリティ、安全なコンテンツデリバリーネットワーク(CDN)、ランタイムアプリケーションセルフプロテクション(RASP)などがあります。
ISO要件に対応:5. 組織的管理、8. 技術的管理
ハイブリッドIT全体で機密データを検出・分類し、暗号化、トークン化、鍵管理を使用して、保存中、通信中、使用中のどの状態でも機密データを自動的に保護します。Thalesのソリューションはまた、正確なリスク評価のために潜在的なリスクを特定、評価、優先順位付けします。また、潜在的な脅威を特定し、コンプライアンスを検証するために、異常な行動を特定し、アクティビティを監視します。これにより、組織はどこに注力すべきかを優先的に判断できます。
ISO要件に対応:5. 組織的管理、6. 人的管理、7. 物理的管理、8. 技術的管理
顧客、従業員、パートナーに対して、アプリケーションやデジタルサービスへのシームレスで安全かつ信頼性の高いアクセスを提供します。当社のソリューションは、きめ細かなアクセスポリシーと多要素認証を使用して、役割とコンテキストに基づいて内部ユーザーと外部ユーザーのアクセスを制限し、適切なユーザーに適切なリソースへの適切なタイミングでのアクセスを許可します。
電子書籍
ISO 27001情報セキュリティ、サイバーセキュリティ、プライバシー保護規格への準拠
ThalesがISO 27001コンプライアンス要件への準拠をどのように支援できるかについて、詳細は電子ブックをご覧ください。
関連リソース
その他の主要なデータ保護およびセキュリティ規制
PCI HSM
指令 | 現在有効
PCI HSM仕様は、特に決済業界向けのHSMに関する一連の論理的・物理的セキュリティコンプライアンス基準を定義しています。PCI HSMコンプライアンス認定を取得するには、これらの基準を満たす必要があります。
データ侵害通知法
規制 | 現在有効
個人情報の紛失が発生した際のデータ侵害の通知義務は、世界各国で制定されています。通知義務の内容は法域によって異なりますが、ほぼ例外なく「セーフハーバー」条項が含まれています。
GLBA
規制 | 現在有効
グラムリーチブライリー法(GLBA)は1999年金融サービス近代化法としても知られ、金融機関に対し、情報共有の慣行についての顧客への説明と機密データの保護を求めています。