Web教材一覧法規・基準

ISO27001(JIS Q 27001)

キーワード

ISO27001、JIS Q 27001

JIS Q 27001/27002は、ISO/IEC 27001/27002を日本語訳にしたもので、内容は同じです。
 次の2つの規格があります。
   JIS Q 27001(情報セキュリティマネジメントシステム-要求事項)
   JIS Q 27002(情報セキュリティマネジメント-実践のための規範)

JIS Q 27001

JIS Q 27001(要求事項)は、組織がISMSを実践していることを監査・認証するときに、評価の基準となる項目を列挙したものです。監査・認証を目的とせずに、組織がISMSを適切に導入、維持、向上するときの参考資料としても利用できます。

JIS Q 27001は、次の構成になっています。
   序文
   1. 適用範囲
   2. 引用規格
   3. 用語及び規格
   4. 情報セキュリティマネジメントシステム
     4.1 一般要求事項
     4.2 ISMSの確立及び運用管理
       4.2.1 ISMSの確立
       4.2.2 ISMSの導入及び運用
       4.2.3 ISMSの監視及びレビュー
       4.2.4 ISMSの維持及び改善
   5. 経営陣の責任
   6. ISMS内部監査
   7. ISMSのマネジメントレビュー
   8. ISMSの改善
   附属書A

JIS Q 27002

JIS Q 27002(実践規範)の目的は、情報セキュリティマネジメントを導入・運用するときに、どの組織にも利用できる、一般的な手引を提供するものです。

次の分野に区分しています。
   5 セキュリティ基本方針
     5.1 情報セキュリティ基本方針
       5.1.1 情報セキュリティ基本方針文書
       5.1.2 情報セキュリティ基本方針のレビュー
   6 情報セキュリティのための組織
   7 資産の管理
   8 人的資源のセキュリティ
   9 物理的及び環境的セキュリティ
   10 通信及び運用管理
   11 アクセス制御
   12 情報システムの取得、開発及び保守
   13 情報セキュリティインシデントの管理
   14 事業継続管理
   15 順守

これらの分野について、管理すべき事項を列挙し、その管理目的と複数の管理策、それぞれの管理策の実施の手引、注意事項などを示しています。なお、JIS Q 27001の附属書Aは、このうちの管理目的と管理策をそのまま表の形式にしたものです。

たとえば、
  5 セキュリティ基本方針
    5.1 情報セキュリティ基本方針
では、次のようになっています。

目的
情報セキュリティのための経営陣の方向性及び支持を、事業場の要求事項、関連する法令及び規則に従って規定するため
 経営陣は、組織全体にわたる情報セキュリティ基本方針の発行及び維持を通じて、事業目的に沿った明確な情報セキュリティ基本方針の方向性を定め、情報セキュリティに対する支持及び責任を明示することが望ましい。
5.1.1 情報セキュリティ基本方針文書
管理策
情報セキュリティ基本方針文書は、経営陣によって承認されなければならず、また、全従業員および関連する外部関係者に公表し、通知しなければならない。
実施の手引
情報セキュリティ基本方針文書では、経営陣の責任を明記し、情報セキュリティの管理に対する組織の取り組み方を示すことが望ましい。この、情報セキュリティ基本方針文書には、次の事項に関する記述を含むことが望ましい。
  • a) 情報セキュリティの定義、その目的及び適用範囲、ならびに情報共有を可能にする基盤としてのセキュリティの重要性
  • b) 事業戦略及び事業目的に沿った情報セキュリティの目標及び原則を支持する経営者の意向の記述
  • c) リスクアセスメント及びリスクマーケティングの構造を含む、管理目的及び管理策を設定するための枠組み
  • d) 組織にとって特に重要な、情報セキュリティ対策の個別方針、原則、標準類及び順守の要求事項の簡潔な説明
  • e) 情報セキュリティインシデントを報告することも含め、情報セキュリティマーケティングに関する一般的な責任及び特定の責任の定義
  • f) 情報セキュリティ基本方針を支持する文書への参照
この情報セキュリティ基本文書は、想定する読者にとって、適切で、利用可能で、かつ、理解しやすい形で、組織全体にわたって利用者に知らせることが望ましい。
関連情報
情報セキュリティ基本方針文書は、方針文書全体の一部であるかもしれない。情報セキュリティ基本方針文書を組織外部に配布する場合には、取り扱いに慎重を要する情報が露見しないように注意することが望ましい。
5.1.2 情報セキュリティ基本方針のレビュー
(省略)

本シリーズの目次へ