情報セキュリティの運用管理に関する基準としては、英国規格協会(BSI:British Standard Institution)が1995年に作成したBS7799が長年事実上の標準となっていた。BS7799はBS7799-1とBS7799-2の二部構成であり、そのうちのBS7799-2には実施しなければならない(shall)要求事項と管理策127項目(附属書)が列記されている。
このBS7799-2がISO27001:2005として2005年10月に国際規格化された(JISQ27001:2006は2006年5月に発行)。ISO27001への改訂の際、企業にセキュリティ管理策の有効性の測定が要求され、管理策(附属書)が133項目に増加している。 |
