ISO/IEC 27002

ISO/IEC 27002 は、国際標準化機構 (ISO) と国際電気標準会議 (IEC) が共同で策定した、企業などの組織における情報セキュリティマネジメントシステムの仕様を定めた規格。規格の名称は "Code of practice for information security management"。日本語訳は、日本産業規格 JIS Q 27002「情報セキュリティマネジメントの実践のための規範」である。情報セキュリティ管理のベストプラクティスの実施要項（規範）を提供する。

規格の正式名称は次のとおり。

ISO/IEC 27002 Information technology -- Security techniques -- Code of practice for information security management
JIS Q 27002 情報技術 ― セキュリティ技術 ― 情報セキュリティマネジメントの実践のための規範

概要編集

導入部の後、規格は次の12の主要な章から構成されている。

各章の中で、情報セキュリティ制御とその目的が述べられている。情報セキュリティ制御は、一般にそれらの目的を達成するベストプラクティスの手段と見なされる。各制御について、実施要項が提供されている。個々の制御が必須というわけではない。

各組織は、固有の状況に適切な制御を選択する前に、その特定の要求を決定するため、構造化された情報セキュリティ・リスクアセスメント・プロセスを実施することが期待されている。導入部にはリスクアセスメント・プロセスの概要も書かれているが、その部分をカバーする別の標準として ISO Technical Report TR 13335 GMITS Part 3 - Guidelines for the management of IT security - Security Techniques や BS 7799-3 (ISO/IEC 27005) などがある。
汎用的な規格で、考えられるあらゆる制御をリストアップするのは、事実上不可能である。ISO/IEC 27001 と 27002 の個別の産業分野に関する手引きとして、通信業、金融サービス業、医療関係などの各種産業向けの手引き作成が予定されている。

英国規格 BS 7799-1:1999（1999は発行年）がそのまま初版の ISO/IEC 17799:2000になり、2005年に改訂された。2007年に ISO/IEC 27002:2005 と改称され、ISO/IEC 27000 シリーズの一部となった。

規格の対応関係
英国規格	国際規格	日本産業規格	備考
BS 7799-2	ISO/IEC 27001	JIS Q 27001	ISMS 要求事項
BS 7799-1	ISO/IEC 17799 　　　　↓ ISO/IEC 27002	JIS X 5080 　　　↓ JIS Q 27002	ISM 実践のための規範

ISO/IEC 規格の各国語への翻訳には数か月から数年を要する。

ISO/IEC 27002 は、ISO/IEC が定めた ISMS 規格群（ISO/IEC 27000 シリーズ）の1部である。他に次の規格などがある。

ISO/IEC 27000:2012 - ISMS 規格についての概要と基本用語集
ISO/IEC 27001:2005 - 各組織の ISMS が規格に準拠していることの認証について。ISO/IEC 27002 で示されているベストプラクティスを実際のシステムとして実装／運用／改良する際の要求仕様を示している。