ISO42001 vs ISO27001

 

まずは、この2つの規格に共通する点から始めましょう。

両方の規格は、マネジメントシステム規格のために国際標準化機構（ISO）が定めたハイレベル構造（HLS）に従って、非常によく似た構成になっています。

つまり、主要な箇条（およびほとんどすべての小項目）は、これら両方の規格で同じです。

両方の規格における附属書Aの目的も同じで、企業が自社に適用可能なものを選べるようにコントロールの一覧を提供しています。これらのコントロールはかなり汎用的であるため、その実装方法は各社の判断に委ねられています。

詳しくはこちらをご覧ください：附属書AにおけるISO 27001のコントロールを理解する。

コントロールの選定方法も同様で、両規格とも企業にリスクアセスメントの実施を求め、そのうえでリスク対応の過程で附属書Aから適切なコントロールを選ぶことを求めています。興味深いことに、両規格は採用するコントロールに関する意思決定を適用宣言書（Statement of Applicability）に文書化することを要求しており、さらにこの文書の構成についても非常によく似た形式を規定しています。

この規格の正式名称は「ISO/IEC 42001:2023 Information technology — Artificial intelligence — Management system」ですが、簡単のために「ISO/IEC 42001」または単に「ISO 42001」と呼ばれることが多いです。

名称中の「2023」は発行年を示しており、実際にはChatGPTの公開（2022年11月）でAIブームが始まった1年後の2023年12月に発行されました。

ISO 42001はISO（International Organization for Standardization、国際標準化機構）によって発行されました。これは世界各国の政府が設立した国際的な組織であり、各規格は多くの国の代表による承認を必要とします。結果として、ISOが発行する各規格は、世界中の各国に受け入れられることになります。

Secure and Simpleポッドキャストの今回のエピソードでは、ホストのAdvisera CEO デヤン・コシュティッチが、経験豊富なセキュリティコンサルタントであり、フラクショナルCISO、そして『Cyber Warfare Techniques, Tactics, and Tools for Security Practitioners（サイバー戦争：実務者のための技術・戦術・ツール）』の著者であるスティーブ・ウィンターフェルドを迎えます。議論は、企業にとってのサイバー戦争の関連性、さまざまな種類のサイバー脅威、そしてそれらに対処するための戦略的な方法を中心に展開されます。

Apple Podcast

Spotify

YouTube

スティーブは、諜報や妨害からオペレーション上の戦術に至るまで、さまざまな分野におけるサイバー戦争の影響に関する見識を共有します。彼は、リスク評価の重要性、MITRE ATT&CKのようなフレームワークの有用性、そしてセキュリティ衛生（セキュリティハイジーン）への取り組みを強調します。この対談は、企業が先進的な脅威から身を守るためにサイバーセキュリティ対策をどのように強化できるかについて、包括的な視点を提供します