BeyondTrust による ISO 27001 準拠

English -> Visit original BeyondTrust page

ISO27001とは何ですか?
ISO 27001 認証を取得するにはどうすればよいですか?
ISO 27001 と ISO 27002 の比較
ISO 27001認証のメリット
BeyondTrust ISO 27001 準拠
BeyondTrust PAM ソリューションで ISO 27001 認証を取得

ISO27001とは何ですか?

ISO/IEC 27001 (一般的に ISO 27001 と略称されます) は、国際標準化機構と国際電気標準会議によって共同発行されています。ISO 27001 の主な目的は、情報セキュリティ管理システム (ISMS) を確立、実装、維持し、継続的に強化するための前提条件を定義することです。ISO 27001 は、BS7799-2 から継承した内容を強化し、競合組織によって策定された規格と調和させています。

ISO 27001 は、単なる情報テクノロジ以上のものをカバーするように設計されています。認証の一環としてテストされるコントロールも含まれます。テストされる具体的な管理は、認証監査人および適用可能性によって異なります。これには、組織が ISMS の範囲内であるとみなしたあらゆるコントロールが含まれる場合があります。テストは、監査人が評価する任意の深さまたは程度、または組織が定める範囲に行うことができます。経営者は認証を目的とした ISMS の範囲を決定し、それを組織内の単一の事業単位、場所、さらには部門に限定する場合があるため、これは重要です。

ISO 27001 には次の 3 つの推奨事項が含まれています。

脅威、脆弱性、影響を考慮して、組織の情報セキュリティリスクを体系的に調査します。
容認できないと思われるリスクに対処するために、情報セキュリティ管理の一貫した包括的なスイートおよび/またはその他の形式のリスク処理 (リスク回避やリスク移転など) を設計および実装します。
包括的な管理プロセスを採用して、情報セキュリティ管理が組織のニーズを継続的に満たせるようにします。

ISO 27001 認証を取得するにはどうすればよいですか?

ISO/IEC 27001 認証は、他の ISO マネジメントシステム認証と同様、通常、ISO/IEC 17021 および ISO/IEC 27006 規格で概説された 3 段階の外部監査プロセスに従います。

これは、フォローアップの継続的なプロセスを伴う 2 つの部分で行われます。

一つ目は ISMS の初期レビューであり、情報セキュリティポリシー、適用声明、リスク治療計画などの重要な文書の存在と完全性がチェックされます。この段階は、監査人が組織に慣れるのに役立ちます。
二つ目は、ISO 27001 要件に照らして ISMS を独立してテストする徹底的なコンプライアンス監査です。監査人は、マネジメントシステムの適切な設計、導入、運用を確認するための証拠を収集します。この段階を通過すると、ISO 27001 認証が取得されます。
継続的な定期的なフォローアップ監査により、基準への継続的な準拠を確保します。認証の維持には、定期的な再評価監査が含まれます。通常は、ISMS 導入の初期段階で毎年、またはそれ以上の頻度で実施されます。

ISO 27001 と ISO 27002 の比較

ISMS を導入する際、組織は ISO 27001 と ISO 27002 の区別について疑問を持つことがよくあります。簡単に言うと、ISO 27001 は情報セキュリティマネジメントシステム規格の要件を概説するのに対し、ISO 27002 は認証を求める組織やセキュリティの実装を求める組織にガイドラインとベストプラクティスを提供します。プロセスとコントロール。ISO 27002 は、より具体的な例とガイダンスを提供し、組織内の個人の実践規範として機能します。

ISO 27001認証のメリット

ISO 27001 認証は世界的に認められており、少なくとも次のような貴重なメリットをもたらします。

基本的に健全なセキュリティ実践のベースラインを維持する必要があります。これにより、侵害のインシデントやその他のネガティブなセキュリティイベントを含む、組織のサイバーリスクを軽減できます。
組織の評判を向上させ、顧客やパートナーにソリューションのセキュリティに対する信頼を与えます。
ISO 27001 で要求される多くの慣行は EU GDPR や HIPAA などの他のセキュリティフレームワークにも適用できるため、企業は規制上の罰金を回避できます。
多くの要件と制御が共通のコンプライアンスイニシアチブとフレームワーク間で重複しているため、他のアプライアンスイニシアチブに対応するためのパスが簡素化されます。

BeyondTrust ISO 27001 準拠

BeyondTrust は、国際標準化機構(ISO) 27001 認証を取得しました（ BeyondTrust サイト英語）。ISO 27001 を達成することは、顧客データが最も高度な侵入方法から確実に安全であることを保証する当社の能力を実証します。非常に詳細な検証プロセスにより、内部セキュリティ運用、安全なソフトウェア開発慣行、製品機能の有効性が検証されます。BeyondTrust を利用することで、組織は ISO 27001 準拠を満たし、高度な侵入技術に対する顧客データの最大限の保護を保証できます。

これらの監査は、公認会計士主導のビジネス顧問会社トップ 100 として主に米国で認められているAprio によって実施されました。

BeyondTrust PAM ソリューションで ISO 27001 認証を取得

BeyondTrust は、お客様がサイバーリスクを軽減し、データのプライバシーを確保し、ISO 27001 などの主要な取り組みへのコンプライアンスを達成できるよう支援する基礎的なセキュリティを提供します。BeyondTrust PAM ソリューションを使用すると、次のことが可能になります。

すべてのエンドポイント、アイデンティティ、アカウントに対して最小限の特権アクセスを強制する
2FA を含む、VPN を使用しない安全なリモートアクセス
すべての特権認証情報 (パスワード、シークレット、SSH キーなど) を安全に管理します。
人間、マシン、従業員、ベンダーを問わず、あらゆる特権セッションを監視、管理、監査します。
ID ベースの攻撃ベクトルと攻撃経路をプロアクティブに検出して対応します。