そもそもISO/IEC27001の「IEC」ってなんだ？

同じISO規格でも、品質のマネジメントシステム規格は「ISO 9001」、環境のマネジメントシステムは「ISO 14001」であるのに対して、情報セキュリティのマネジメントシステム規格は「ISO/IEC 27001」となぜか他と違う単語がついています。

ISMSの取り組みを行うには特に気にすることもないですが、改めて考えてみると、他には付いていないものがなぜあるのか少し気になりませんか？

というわけで今回はこの疑問について少し考えてみます。

ISO規格とは

まず今回のテーマでもあるISO規格について。

そもそもISO（国際標準化機構）とは、168の国家標準化機関が加盟した独立した非政府の国際機関です。

「国家標準化団体」について
例えば日本においては「JISC（日本産業標準調査会）」、アメリカにおいては「ANSI（米国国家規格協会）」などが該当し、ISOに加盟している。

そしてISO規格は、そんなISOによって作成された国際規格となります。

IECとは？

ISO規格がISOによって作成される国際規格であることは分かりましたが、改めて品質や環境のマネジメントシステム規格のタイトルにはない”IEC”という単語が、なぜ情報セキュリティのマネジメントシステム規格であるISO/IEC27001には含まれているのか。

このIECについてですが、国際電気標準会議というISO同様の国際標準化機関です。ただ少し違うのが、機関名にも”電気”とある通り、この機関では「電気及び電子技術分野」を専門としています。

そんなISOとIECという2つの国際標準化機関ですが、情報技術(IT)分野など一部の標準化については共同開発という形をとっています。

そして27001についても、情報セキュリティという情報技術分野に深く関連する内容であることからこの共同開発の対象となっており、規格名についても共同開発を示す形でISO/IEC27001になっているということです。

（ついでに）JIS Q 27001の”Q”ってなんだ？

もう一つ、規格のタイトルについてISO/IEC27001の日本版「JIS Q 27001」の”Q”もなんだろうと、気になることありませんか？

この”Q”にあたる部分は部門番号と呼ばれ、様々なカテゴリが割り当てられたアルファベットAーZ（割り当てがないアルファベットもあり）のいずれかが割り振られています。

例えばAであれば「土木及び建築」、Dであれば「自動車」、Kであれば「科学」、Xであれば「情報処理」などを意味します。

そして”Q”は「管理システム」を意味します。
情報セキュリティの規格だから、例えば情報処理などに関する部門番号が割り当てられるのでは？と思う可能性もありますが、ISMSがマネジメントシステム、つまり管理システムという点を中心とした規格であることを考えるとしっくりきますね。品質の9001や、環境の14001もJISにおいては”Q”が割り当てられています。

おわりに

ISO/IEC27001における”IEC”も、JIS Q 27001における”Q”もマネジメントシステムを運用する上では特に気にする機会もないですが、この規格がどういう背景でできているのか、どのように取り扱われているのか理解する上では知っておいて損はないかもしれませんね！