【JIS Q 27001】とは 
JIS Q 27001(ISO/IEC 27001)は、ISMSの要求事項を定めた規格であり、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供することを目的として作成されている。
ISMSの確立及び実施について、それをどのように実現するかという方法ではなく、組織が何を行うべきかを主として記述している。この規格は以下のために用いることができる。
● 組織のマネジメント及び業務プロセスを取り巻くリスクの変化への対応
JIS Q 27001では、組織は、自らのニーズ及び目的、情報セキュリティ要求事項、組織が用いているプロセス、並びに組織の規模及び構造を考慮して、ISMSの確立及び実施を行う。これは、多くの情報を取り扱うようになっている、現代の組織のマネジメント及び業務プロセスを取り巻くリスクの変化に対応できるように、組織基盤を構築する抜本的な業務改革をする目的に適している。
● 情報セキュリティ要求事項を満たす組織の能力を内外で評価するための基準
JIS Q 27001は、情報セキュリティ要求事項を満たす組織の能力を、パフォーマンス評価及び内部監査などにより、組織の内部で評価する基準としても、第二者監査・第三者監査といわれる、外部関係者が評価するための基準としても用いることができる。
JIS Q 27001:2014の構成
JIS Q 27001:2014は、ISOのマネジメントシステム規格(MSS)の共通要素 ※ を適用して開発されたマネジメントシステム規格となっており、その上で、情報セキュリティに不可欠なISMS固有の要求事項が規定されている。
そのため、以下の通り、本文はMSS共通の構成となっている。
※ 2012年5月に発行された「ISO/IEC 専門業務用指針 第1部 統合版ISO補足指針」の「附属書SL(規定)マネジメントシステム規格の提案」に規定されている、「合意形成され、統一された、上位構造、共通の中核となるテキスト、並びに共通用語及び中核となる定義」である。これを示すことによって、マネジメントシステム規格(MSS:Management System Standards)の一貫性及び整合性を向上させることがその狙いである。なお、今後すべてのMSSはこの附属書SLを適用することになった。
JIS Q 27001:2014の適用
JIS Q 27001:2014は、どのような組織であっても必ず適用させる事が必要な要求事項(本文)と、事業の特性により適用除外が可能である要求事項(附属書Aの管理策)で構成されており、広く利用可能な基準としてあらゆる組織に適用できるよう配慮されている。
リスクを内包した情報及び情報に関連する資産を保護するには、それらがもつ価値や脅威、ぜい弱性などのリスクの源を明らかにし、リスクの大小を判別して適切な対策を講じなければならない。安易な適用除外または理由の明確でない適用は、マネジメントシステムの一貫性に大きな影響を与えるためである。
適用理由が特定されていることの明示とともに、以下に例示するような「除外の原則」を定め、ある要求事項について条件が全て満たされる場合にのみ適用を除外するなど適切な判断が求められる。
■ ISMSの能力、責任に影響を及ぼさないこと
■ 情報セキュリティ目的と相反しないこと
■ 関連法規や規制に関する要求事項でないこと
このような適用理由、及び適用除外の理由は、適用宣言書に記載することが求められる。
適用宣言書とは、ISMSに関連してその組織が適用する管理目的及び管理策を記述した、文書化された情報である。適用宣言書には、適用した結果とその理由、適用しない場合にもその理由を明記する。また、組織で必要と判断した管理策が、附属書Aの詳細管理策の項目には無く、他の任意の情報源の中から独自に追加した場合は、その内容と理由についても記述する。
このようにして作成された適用宣言書は、組織がISMSを確立、実施、運用、継続的に改善するために適用した情報セキュリティ管理策を表明するものであり、特定の利害関係者に開示又は交換することによって、ISOという共通言語に基づいたセキュリティレベルの確認ができ、情報セキュリティを維持しているという信頼の保持にもつながる。
関連問題
- [[]]
FAQ
Tag: [[【】]]
