Web教材一覧法規・基準

JIS Q 27000(ISO/IEC 27000)シリーズ
情報セキュリティマネジメント

キーワード

JIS Q 27000、ISO/IEC 27000、JIS Q 27001、ISO/IEC 27001、JIS Q 27002、ISO/IEC 27002、JIS Q 27014、ISO/IEC 27014、情報セキュリティマネジメント、情報セキュリティマネジメントシステム、ISMS、ISMS適合性認証制度、情報セキュリティ監査制度、情報セキュリティガバナンス、リスク、脆弱性、事象、機密性,完全性、可用性、真正性,責任追跡性,否認防止,信頼性


リスクマネジメントの分野では、JIS Q 27000 と JIS Q 31000 は、整合性を持ち、双方での記述があります。ここでは、その分野を JIS Q 31000 にまとめています。

本規格の位置づけ

ISMS適合性認証制度

ISMS(Information Security Management System、情報セキュリティマネジメントシステム)とは、企業等の組織において、情報セキュリティ対策を、経営者がリーダーシップをもって、全社的・継続的な改善活動として取り込むことです。
 JIS Q 27001(ISO/IEC 27001)は、ISMSを実施するための要求事項です。企業がが構築したISMSがJIS Q 27001に適合しているかを、専門的な認証機関がMS状況を審査し、審査に合格した組織を登録する制度をISMS適合性認証制度といいます(厳密には、JIS Q 27001適合性認証制度というべきでしょうが)。

ISMS適合性評価の審査申請をした組織に対して、セキュリティ関連文書による文書審査と、それが実践されていることを確認する実地審査を行い、合格したときには認定書を発行し、ISMS適合性マーク(右図)の使用が認められます。また、原則として3年ごとに更新審査を行い、その間に維持・改善が行われたことが求められます。
 企業は、ISMS適合性マークを掲げることにより、自社の情報セキュリティ対策のレベルの高さを取引先などに示し、取引での安心・安全を与えることができます。

なお、ISMS適合性認証制度では、JIS Q 27001 要求事項のすべてを文字通り実現することを強制するものではありません。企業の特色や状況に合わせて取捨選択すること、部分的な変更をすること、規格以外でも重要事項は取り入れることなど、個々の企業に適切な内部規程を作成し実践するのが適切だとしています。

詳細:ISMS適合性認証制度

情報セキュリティ監査制度

情報セキュリティ監査制度は、組織の情報セキュリティに関して監査を行い、保証と助言を行う制度です。これもほぼ JIS Q 27001に準拠してしています。ISMS適合性認証制度と似ていますが、次のような違いがあります。
        ISMS適合性認証制度 情報セキュリティ監査制度
   準拠規格  JIS Q 27001       同左
   性格    審査・認証       監査・助言
   機関    認証機関        指定なし
   特典    認証書・マークの利用  特になし
   有効期間  3年ごとの更新審査   規定なし
 それで、ISMSを導入した当初の頃は、情報セキュリティ監査制度により助言を受けつつ成熟度を高め、ある程度の成熟度に達した段階で、ISMS適合性認証制度により認証を受けるようにするのが適切でしょう。

詳細:情報セキュリティ監査制度


JIS Q 27000(ISO/IEC 27000)シリーズ

JIS Q 27xxx は国際規格 ISO/IEC 27xxx を日本語化してJIS規格にしたものです。
 このシリーズには40以上の規格がありますが、主なものを列挙します。

JIS Q 27001(ISO/IEC 27001)要求事項
27000ファミリーの中で中核となる規格です。ISMS認証の要求事項が示されています。組織はこの要求事項に準じたマネジメントシステムを構築することで規格の認証を受けることができます。
 この規格の附属書Aには情報セキュリティマネジメントの具体的な管理策が100以上示されています。
JIS Q 27002(ISO/IEC 27002)情報セキュリティ管理策の実践のための規範
具体的な情報セキュリティマネジメントの管理策を示した規格で、要求事項を実践するための規範(ベストプラクティス)です。上記の附属書Aの各管理策の実施の手引きや関連情報などが記載されています。
 すなわち、ISMSを確立するには、ISO/IEC 27002(JIS Q 27002)が示すことを実践すればよく、その実践状況をISMS適合性認証制度で評価することになります。しかし、これらを全て実現するのは困難ですので、自社の状況を考慮して、重点を検討することになります。
JIS Q 27004(ISO/IEC 27004)情報セキュリティガバナンス
情報セキュリティガバナンスとは、経営者の立場から情報セキュリティを統合的に統制することです。ここでは、経営の観点からISMSを構築するために情報セキュリティ対策の概念、管理の原則、推進プロセスについてガイダンスを示しています。
 すなわち、経営者として JIS Q 27001、JIS Q 27002 をどのように運営するかを示すものだといえます。
JIS Q 27000(ISO/IEC 27000)用語
このシリーズで用いられている用語の解説です。

JIS Q 27014 (ISO/IEC 27014) 情報セキュリティガバナンス

https://kikakurui.com/q/Q27014-2015-01.html

JIS Q 27014:2015 の目次

  序文
  1 適用範囲
  2 引用規格
  3 用語及び定義
  4 概念
   4.1 一般
   4.2 目的 ★
   4.3 期待される結果
   4.4 関係 ★ 
  5 原則及びプロセス
   5.1 概要
   5.2 原則 ★
   5.3 プロセス ★
  附属書A(参考)情報セキュリティ報告書の例 
  附属書B(参考)詳細な情報セキュリティ報告書の例
  9 参考文献

以下、★の内容を列挙します。

情報セキュリティガバナンスの目的

情報セキュリティガバナンスと他ガバナンスの関係

情報セキュリティガバナンスとコーポレートガバナンスITガバナンスの関係です。

情報セキュリティガバナンスの原則

  1. 組織全体の情報セキュリティを確立する。
  2. リスクに基づく取組みを採用する。
  3. 投資決定の方向性を設定する。
  4. 内部及び外部の要求事項との適合性を確実にする。
  5. セキュリティに積極的な環境を醸成する。
  6. 事業の結果に関するパフォーマンスをレビューする。

情報セキュリティガバナンスのプロセス


JIS Q 27000:2014(ISO/IEC 27000:2013)用語

https://kikakurui.com/q/Q27000-2014-01.html

膨大な用語の中から、主なものを掲げます。

リスク、脆弱性、事象

情報セキュリティの要素

情報セキュリティ(information security)とは、
 ・情報の機密性,完全性及び可用性を維持すること
 ・さらに,真正性,責任追跡性,否認防止,信頼性などの特性を維持すること

注記 エンティティは,“実体”,“主体”などともいう。情報セキュリティの文脈においては,情報を使用する組織及び人,情報を扱う設備,ソフトウェア及び物理的媒体などを意味する。

リスクマネジメントの分野は、ISO 31000(JIS Q 31000):リスクマネジメントと整合性が図られています。また「××性」の詳細などについては、情報セキュリティの要件を参照してください。


JIS Q 27001:2014 (ISO/IEC 27001:2013) 要求事項

https://kikakurui.com/q/Q27001-2014-01.html

JIS Q 27001:2014 の目次

    0 序文
    1 適用範囲
    2 引用規格
    3 用語及び定義
    4 組織の状況
    5 リーダーシップ
    6 計画
    7 支援
    8 運用
    9 パフォーマンス評価
    10 改善
    附属書 A (規定)管理目的及び管理策

「企業のISMSは、これらの状況になっていなければならない」事項を列挙したものです。ISMS適合性認証制度では、これらの要求事項が満たされているかを評価します。
 例えば、次のような内容です。

JIS Q 27001:附属書A

https://manualzilla.com/doc/6581873/iso27001内部監査チェックリスト(附属書a管理策)

附属書Aには、組織がかかえている情報セキュリティ上のリスクを軽減するための管理目的と、その管理目的を達成するための管理策が示されています。

管理策(control)とは、リスクを修正する対策。
注記 1 管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務及びその他の処置を含む。
注記 2 管理策が,常に意図又は想定した修正効果を発揮するとは限らない。

附属書Aの目次
  A.5 情報セキュリティのための方針群
  A.6 情報セキュリティのための組織
  A.7 人的資源のセキュリティ
  A.8 資産の管理
  A.9 アクセス制御
  A.10 暗号
  A.11 物理的及び環境的セキュリティ
  A.12 運用のセキュリティ
  A.13 通信のセキュリティ
  A.14 システムの取得、開発及び保守
  A.15 供給者管理
  A.16 情報セキュリティインシデント管理
  A.17 事業継続マネジメントにおける情報セキュリティの側面
  A.18 順守

構成
     ┌ 管理事項
     │ ┌ 管理目的
     │ │ ┌ 管理策
   A.5.1.1
例
  A.5 情報セキュリティのための方針群
  A.5.1 情報セキュリティのための経営陣の方向性
     目的:情報セキュリティのための経営陣の方向性及び支持を、
       事業上の要求事項、関連する法令及び規制に従って、規定するため。
  A.5.1.1 情報セキュリティのための方針群
     管理策:情報セキュリティ基本方針文書は、経営陣によって承認されなければ
       ならず、また、全従業員および関連する情報セキュリティのための方針群
       は,これを定義し,管理層が承認し,発行し,従業員及び関連する外部関
       係者に通知することが望ましい。

内部監査チェックリストでは、各小項目について、該当部門、コメント、有効性評価、総合評価結果の欄を加えた表にしています。


JIS Q 27002 (ISO/IEC 27002) 情報セキュリティ管理策の実践のための規範

https://kikakurui.com/q/Q27002-2014-01.html

JIS Q 27001の附属書Aの構成と、管理目的と管理策をそのまま引き継ぎ、それぞれの管理策について実施の手引、注意事項などを示したものです。すなわち、「この規格に従って改善を進めていけば、認証を受けられるレベルのISMSが実現できる」ベストプラクティスを示したガイドブックだといえます。
 例えば、次のようになっています。