日本工業規格    JIS Q 27001:2014 (ISO/IEC 27001:2013)

情報技術-セキュリティ技術-

情報セキュリティマネジメントシステム-要求事項

Information technology-Security techniques- Information security management systems-Requirements

目 次

ページ
0 序文 1
0.1 概要 1
0.2 他のマネジメントシステム規格との両立性 1
1 適用範囲 2
2 引用規格 2
3 用語及び定義 2
4 組織の状況 2
4.1 組織及びその状況の理解 2
4.2 利害関係者のニーズ及び期待の理解 2
4.3 情報セキュリティマネジメントシステムの適用範囲の決定 2
4.4 情報セキュリティマネジメントシステム 3
5 リーダーシップ 3
5.1 リーダーシップ及びコミットメント 3
5.2 方針 3
5.3 組織の役割,責任及び権限 3
6 計画 4
6.1 リスク及び機会に対処する活動 4
6.2 情報セキュリティ目的及びそれを達成するための計画策定 5
7 支援 6
7.1 資源 6
7.2 力量 6
7.3 認識 6
7.4 コミュニケーション 6
7.5 文書化した情報 6
8 運用 7
8.1 運用の計画及び管理 7
8.2 情報セキュリティリスクアセスメント 7
8.3 情報セキュリティリスク対応 7
9 パフォーマンス評価 8
9.1 監視,測定,分析及び評価 8
9.2 内部監査 8
9.3 マネジメントレビュー 8
10 改善 9
10.1 不適合及び是正処置 9
10.2 継続的改善 9

Q 27001:2014 (ISO/IEC 27001:2013) 目 次
ページ
附属書 A(規定)管理目的及び管理策 10
参考文献 21
解 説 22

  • 序文

この規格は,2013 年に第 2 版として発行された ISO/IEC 27001 を基に,技術的内容及び構成を変更することなく作成した日本工業規格である。

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。

  • 概要

この規格は,情報セキュリティマネジメントシステム(以下,ISMS という。)を確立し,実施し,維持し,継続的に改善するための要求事項を提供するために作成された。ISMS の採用は,組織の戦略的決定である。組織の ISMS の確立及び実施は,その組織のニーズ及び目的,セキュリティ要求事項,組織が用いているプロセス,並びに組織の規模及び構造によって影響を受ける。影響をもたらすこれらの要因全ては,時間とともに変化することが見込まれる。

ISMS は,リスクマネジメントプロセスを適用することによって情報の機密性,完全性及び可用性を維持し,かつ,リスクを適切に管理しているという信頼を利害関係者に与える。

ISMS を,組織のプロセス及びマネジメント構造(management structure)全体の一部とし,かつ,その中に組み込むこと,並びにプロセス,情報システム及び管理策を設計する上で情報セキュリティを考慮する ことは,重要である。ISMS の導入は,その組織のニーズに合わせた規模で行うことが期待される。

この規格は,組織自身の情報セキュリティ要求事項を満たす組織の能力を,組織の内部で評価するため   にも,また,外部関係者が評価するためにも用いることができる。

この規格で示す要求事項の順序は,重要性を反映するものでもなく,実施する順序を示すものでもない。本文中の細別符号[例えば,a),b),又は 1),2)]は,参照目的のためだけに付記されている。

ISO/IEC 270001)は,ISMS ファミリ規格(ISO/IEC 27003[2],ISO/IEC 27004[3]及び ISO/IEC 27005[4]を含

む。)を参照しながら,ISMS の概要について記載し,用語及び定義について規定している。

1)   ISMS ファミリ規格の用語及び定義については,JIS Q 27000 が制定されている。

  • 他のマネジメントシステム規格との両立性

この規格は,ISO/IEC 専門業務用指針 第 1 部 統合版 ISO 補足指針の附属書 SL に規定する上位構造

(HLS),共通の細分箇条題名,共通テキスト並びに共通の用語及び中核となる定義を適用しており,附属書 SL を採用した他のマネジメントシステム規格との両立性が保たれている。

附属書 SL に規定するこの共通の取組みは,二つ以上のマネジメントシステム規格の要求事項を満たす一つのマネジメントシステムを運用することを選択する組織にとって有用となる。

  • 適用範囲

この規格は,組織の状況の下で,ISMS   を確立し,実施し,維持し,継続的に改善するための要求事項について規定する。この規格は,組織のニーズに応じて調整した情報セキュリティのリスクアセスメント   及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は,汎用的であ     り,形態,規模又は性質を問わず,全ての組織に適用できることを意図している。組織がこの規格への適 合を宣言する場合には,箇条 4~箇条 10 に規定するいかなる要求事項の除外も認められない。

注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

ISO/IEC 27001:2013 , Information technology - Security techniques - Information security management systems-Requirements(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,“一致している”ことを示す。

  • 引用規格

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。この引用規格は,その最新版(追補を含む。)を適用する。

JIS Q 27000 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語

注記     対応国際規格:ISO/IEC  27000 ,Information  technology-Security  techniques-Information security management systems-Overview and vocabulary(MOD)

  • 用語及び定義

この規格で用いる主な用語及び定義は,JIS Q 27000 による。

  • 組織の状況

    • 組織及びその状況の理解

組織は,組織の目的に関連し,かつ,その ISMS の意図した成果を達成する組織の能力に影響を与える,外部及び内部の課題を決定する。

注記 これらの課題の決定とは,JIS Q 31000:2010[5]5.3 に記載されている組織の外部状況及び内部状況の確定のことをいう。

  • 利害関係者のニーズ及び期待の理解

組織は,次の事項を決定する。

  1. ISMS に関連する利害関係者
  2. その利害関係者の,情報セキュリティに関連する要求事項

注記 利害関係者の要求事項には,法的及び規制の要求事項並びに契約上の義務を含めてもよい。

  • 情報セキュリティマネジメントシステムの適用範囲の決定

組織は,ISMS の適用範囲を定めるために,その境界及び適用可能性を決定する。この適用範囲を決定するとき,組織は,次の事項を考慮する。

  1. 1 に規定する外部及び内部の課題
  2. 2 に規定する要求事項

 

  1. 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係

ISMS の適用範囲は,文書化した情報として利用可能な状態にしておかる。

  • 情報セキュリティマネジメントシステム

組織は,この規格の要求事項に従って,ISMS  を確立し,実施し,維持し,かつ,継続的に改善する。

  • リーダーシップ

    • リーダーシップ及びコミットメント

トップマネジメントは,次に示す事項によって,ISMS  に関するリーダーシップ及びコミットメントを実証する。

  1. 情報セキュリティ方針及び情報セキュリティ目的を確立し,それらが組織の戦略的な方向性と両立することを確実にする。
  2. 組織のプロセスへのISMS 要求事項の統合を確実にする。
  3. ISMS に必要な資源が利用可能であることを確実にする。
  4. 有効な情報セキュリティマネジメント及びISMS 要求事項への適合の重要性を伝達する。
  5. ISMS がその意図した成果を達成することを確実にする。
  6. ISMS の有効性に寄与するよう人々を指揮し,支援する。
  7. 継続的改善を促進する。
  8. その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう,管理層の役割を支援する。
    • 方針

トップマネジメントは,次の事項を満たす情報セキュリティ方針を確立する。

  1. 組織の目的に対して適切である。
  2. 情報セキュリティ目的(2 参照)を含む。か,又は情報セキュリティ目的の設定のための枠組みを示す。
  3. 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
  4. ISMS の継続的改善へのコミットメントを含む。

情報セキュリティ方針は,次に示す事項を満たす。

  1. 文書化した情報として利用可能である。
  2. 組織内に伝達する。
  3. 必要に応じて,利害関係者が入手可能である。
    • 組織の役割,責任及び権限

トップマネジメントは,情報セキュリティに関連する役割に対して,責任及び権限を割り当て,伝達することを確実にする。

トップマネジメントは,次の事項に対して,責任及び権限を割り当てる。

  1. ISMS が,この規格の要求事項に適合することを確実にする。
  2. ISMS のパフォーマンスをトップマネジメントに報告する。

注記  トップマネジメントは,ISMS  のパフォーマンスを組織内に報告する責任及び権限を割り当ててもよい。

  • 計画

    • リスク及び機会に対処する活動

      • 一般

ISMS の計画を策定するとき,組織は,4.1 に規定する課題及び 4.2 に規定する要求事項を考慮し,次の事項のために対処する必要があるリスク及び機会を決定する。

  1. ISMS が,その意図した成果を達成できることを確実にする。
  2. 望ましくない影響を防止又は低減する。
  3. 継続的改善を達成する。

組織は,次の事項を計画する。

  1. 上記によって決定したリスク及び機会に対処する活動
  2. 次の事項を行う方法
    • その活動の ISMS プロセスへの統合及び実施
    • その活動の有効性の評価
      • 情報セキュリティリスクアセスメント

組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用する。

  1. 次を含む。情報セキュリティのリスク基準を確立し,維持する。
    • リスク受容基準
    • 情報セキュリティリスクアセスメントを実施するための基準
  2. 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。
  3. 次によって情報セキュリティリスクを特定する。
    • ISMS の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。
    • これらのリスク所有者を特定する。
  4. 次によって情報セキュリティリスクを分析する。
    • 1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
    • 1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
    • リスクレベルを決定する。
  5. 次によって情報セキュリティリスクを評価する。
    • リスク分析の結果と 1.2 a) で確立したリスク基準とを比較する。
    • リスク対応のために,分析したリスクの優先順位付けを行う。

組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持する。

  • 情報セキュリティリスク対応

組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用する。

  1. リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。
  2. 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。

注記 組織は,必要な管理策を設計するか,又は任意の情報源の中から管理策を特定することができる。

  1. 1.3 b) で決定した管理策を附属書 A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。

注記 1    附属書 A は,管理目的及び管理策の包括的なリストである。この規格の利用者は,必要な管理策の見落としがないことを確実にする。ために,附属書 A を参照することが求められている。

注記 2    管理目的は,選択した管理策に暗に含まれている。附属書 A に規定した管理目的及び管理策は,全てを網羅してはいないため,追加の管理目的及び管理策が必要となる場合がある。

  1. 次を含む。適用宣言書を作成する。
    • 必要な管理策[1.3 b) 及び c) 参照]
    • それらの管理策を含めた理由
    • それらの必要な管理策を実施しているか否か
    • 附属書 A に規定する管理策を除外した理由
  2. 情報セキュリティリスク対応計画を策定する。
  3. 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。

組織は,情報セキュリティリスク対応のプロセスについての文書化した情報を保持する。

注記 この規格の情報セキュリティリスクアセスメント及びリスク対応のプロセスは,JIS Q 31000[5]に規定する原則及び一般的な指針と整合している。

  • 情報セキュリティ目的及びそれを達成するための計画策定

組織は,関連する部門及び階層において,情報セキュリティ目的を確立する。 情報セキュリティ目的は,次の事項を満たす。

  1. 情報セキュリティ方針と整合している。
  2. (実行可能な場合)測定可能である。
  3. 適用される情報セキュリティ要求事項,並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
  4. 伝達する。
  5. 必要に応じて,更新する。

組織は,情報セキュリティ目的に関する文書化した情報を保持する。

組織は,情報セキュリティ目的をどのように達成するかについて計画するとき,次の事項を決定する。

  1. 実施事項
  2. 必要な資源
  3. 責任者
  4. 達成期限
  5. 結果の評価方法
  • 支援

    • 資源

組織は,ISMS の確立,実施,維持及び継続的改善に必要な資源を決定し,提供する。

  • 力量

組織は,次の事項を行わる。

  1. 組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人(又は人々)に必要な力量を決定する。
  2. 適切な教育,訓練又は経験に基づいて,それらの人々が力量を備えていることを確実にする。
  3. 該当する場合には,必ず,必要な力量を身につけるための処置をとり,とった処置の有効性を評価する。
  4. 力量の証拠として,適切な文書化した情報を保持する。

注記 適用される処置には,例えば,現在雇用している人々に対する,教育訓練の提供,指導の実施, 配置転換の実施などがあり,また,力量を備えた人々の雇用,そうした人々との契約締結などもある。

  • 認識

組織の管理下で働く人々は,次の事項に関して認識をもたる。

  1. 情報セキュリティ方針
  2. 情報セキュリティパフォーマンスの向上によって得られる便益を含む。,ISMS の有効性に対する自らの貢献
  3. ISMS 要求事項に適合しないことの意味
    • コミュニケーション

組織は,次の事項を含め,ISMS  に関連する内部及び外部のコミュニケーションを実施する必要性を決定する。

  1. コミュニケーションの内容(何を伝達するか。)
  2. コミュニケーションの実施時期
  3. コミュニケーションの対象者
  4. コミュニケーションの実施者
  5. コミュニケーションの実施プロセス
    • 文書化した情報

      • 一般

組織のISMS は,次の事項を含まる。

  1. この規格が要求する文書化した情報
  2. ISMS の有効性のために必要であると組織が決定した,文書化した情報

注記 ISMS のための文書化した情報の程度は,次のような理由によって,それぞれの組織で異なる場合がある。

  • 組織の規模,並びに活動,プロセス,製品及びサービスの種類
  • プロセス及びその相互作用の複雑さ
  • 人々の力量
    • 作成及び更新

文書化した情報を作成及び更新する際,組織は,次の事項を確実にする。

  1. 適切な識別及び記述(例えば,タイトル,日付,作成者,参照番号)
  2. 適切な形式(例えば,言語,ソフトウェアの版,図表)及び媒体(例えば,紙,電子媒体)
  3. 適切性及び妥当性に関する,適切なレビュー及び承認
    • 文書化した情報の管理

ISMS 及びこの規格で要求されている文書化した情報は,次の事項を確実にするために,管理する。

  1. 文書化した情報が,必要なときに,必要なところで,入手可能かつ利用に適した状態である。
  2. 文書化した情報が十分に保護されている(例えば,機密性の喪失,不適切な使用及び完全性の喪失からの保護)。

文書化した情報の管理に当たって,組織は,該当する場合には,必ず,次の行動に取り組まる。

  1. 配付,アクセス,検索及び利用
  2. 読みやすさが保たれることを含む。,保管及び保存
  3. 変更の管理(例えば,版の管理)
  4. 保持及び廃棄

ISMS   の計画及び運用のために組織が必要と決定した外部からの文書化した情報は,必要に応じて,特定し,管理する。

注記 アクセスとは,文書化した情報の閲覧だけの許可に関する決定,文書化した情報の閲覧及び変更の許可及び権限に関する決定,などを意味する。

  • 運用

    • 運用の計画及び管理

組織は,情報セキュリティ要求事項を満たすため,及び 6.1 で決定した活動を実施するために必要なプロセスを計画し,実施し,かつ管理する。また,組織は,6.2 で決定した情報セキュリティ目的を達成するための計画を実施する。

組織は,プロセスが計画通りに実施されたという確信をもつために必要な程度の,文書化した情報を保持する。

組織は,計画した変更を管理し,意図しない変更によって生じた結果をレビューし,必要に応じて,有害な影響を軽減する処置をとらる。

組織は,外部委託したプロセスが決定され,かつ,管理されていることを確実にする。

  • 情報セキュリティリスクアセスメント

組織は,あらかじめ定めた間隔で,又は重大な変更が提案されたか若しくは重大な変化が生じた場合に,

6.1.2 a) で確立した基準を考慮して,情報セキュリティリスクアセスメントを実施する。組織は,情報セキュリティリスクアセスメント結果の文書化した情報を保持する。

  • 情報セキュリティリスク対応

組織は,情報セキュリティリスク対応計画を実施する。

組織は,情報セキュリティリスク対応結果の文書化した情報を保持する。

  • パフォーマンス評価

    • 監視,測定,分析及び評価

組織は,情報セキュリティパフォーマンス及びISMS の有効性を評価する。組織は,次の事項を決定する。

  1. 必要とされる監視及び測定の対象。これには,情報セキュリティプロセス及び管理策を含む。。
  2. 該当する場合には,必ず,妥当な結果を確実にする。ための,監視,測定,分析及び評価の方法

注記 選定した方法は,妥当と考えられる,比較可能で再現可能な結果を生み出すことが望ましい。

  1. 監視及び測定の実施時期
  2. 監視及び測定の実施者
  3. 監視及び測定の結果の,分析及び評価の時期
  4. 監視及び測定の結果の,分析及び評価の実施者

組織は,監視及び測定の結果の証拠として,適切な文書化した情報を保持する。

  • 内部監査

組織は,ISMS  が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部監査を実施する。

  1. 次の事項に適合している。
    • ISMS に関して,組織自体が規定した要求事項
    • この規格の要求事項
  2. 有効に実施され,維持されている。

組織は,次に示す事項を行わる。

  1. 頻度,方法,責任及び計画に関する要求事項及び報告を含む。,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れる。
  2. 各監査について,監査基準及び監査範囲を明確にする。
  3. 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。
  4. 監査の結果を関連する管理層に報告することを確実にする。
  5. 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。
    • マネジメントレビュー

トップマネジメントは,組織の ISMS が,引き続き,適切,妥当かつ有効であることを確実にする。ために,あらかじめ定めた間隔で,ISMS をレビューする。

マネジメントレビューは,次の事項を考慮する。

  1. 前回までのマネジメントレビューの結果とった処置の状況
  2. ISMS に関連する外部及び内部の課題の変化
  3. 次に示す傾向を含めた,情報セキュリティパフォーマンスに関するフィードバック
    • 不適合及び是正処置
    • 監視及び測定の結果
    • 監査結果
    • 情報セキュリティ目的の達成
  4. 利害関係者からのフィードバック
  5. リスクアセスメントの結果及びリスク対応計画の状況
  6. 継続的改善の機会

マネジメントレビューからのアウトプットには,継続的改善の機会,及び ISMS  のあらゆる変更の必要性に関する決定を含める。

組織は,マネジメントレビューの結果の証拠として,文書化した情報を保持する。

  • 改善

  • 継続的改善

    組織は,ISMS の適切性,妥当性及び有効性を継続的に改善する。

    • 不適合及び是正処置

不適合が発生した場合,組織は,次の事項を行わる。

  1. その不適合に対処し,該当する場合には,必ず,次の事項を行う。
    • その不適合を管理し,修正するための処置をとる。
    • その不適合によって起こった結果に対処する。
  2. その不適合が再発又は他のところで発生しないようにするため,次の事項によって,その不適合の原因を除去するための処置をとる必要性を評価する。
    • その不適合をレビューする。
    • その不適合の原因を明確にする。
    • 類似の不適合の有無,又はそれが発生する可能性を明確にする。
  3. 必要な処置を実施する。
  4. とった全ての是正処置の有効性をレビューする。
  5. 必要な場合には,ISMS の変更を行う。

是正処置は,検出された不適合のもつ影響に応じたものでる。

組織は,次に示す事項の証拠として,文書化した情報を保持する。

  1. 不適合の性質及びとった処置
  2. 是正処置の結果