このガイドラインは、情報リスクおよびセキュリティの専門家がISO/IEC 27001を解釈し、実践的に適用するのに役立ちます。このガイドラインは、規格の正式な仕様と、情報リスクおよびセキュリティ体制を費用対効果の高い方法で管理するための組織の要件の両方を満たす情報セキュリティマネジメントシステムを構築および実装する方法に関する実用的なガイダンスを提供します。
ISO/IEC 27001:2022は、ISO/IEC専門業務用指針(附属書SLおよび付録2)のマネジメントシステム規格に対するISO/IECの調和されたアプローチと構造を用いて、ISMSを規定しています。標準仕様として、正式かつ簡潔な表現で記述されています。主に適合性監査および認証を目的としています。認証されたISMSは、組織の規模、構造、業種、成熟度などに大きな違いがあるにもかかわらず、全体的な構造と中核プロセスは共通であるべきです。しかし、その形式や厳密な表現は、特にISOマネジメントシステムに馴染みのない人にとっては、ISO/EC 27001の理解と実践を困難にする可能性があります。この規格は、マネジメントシステムの構造に関する自由度がほとんどなく、適合性監査という特定の狭い範囲で解釈されることを意図しています。同時に、この規格は、実際の組織の状況に合わせてある程度カスタマイズまたは適応させる必要があります。組織内でISMSを構築、実装、運用、維持するためにこの規格を使用することは、適合性監査とは異なる目的です。このガイドラインは、監査員ではなく実装者を主な対象としています。
0 件のコメント:
コメントを投稿