情報セキュリティマネジメントシステム(以下、ISMS)の認証基準として設けられた国際規格が、「ISO/IEC 27001」です。この国際規格を日本語に翻訳し、国内規格として整えたものが、本記事で解説する「JIS Q 27001」となります。
本記事ではISMSの基礎知識をはじめ、「JIS Q 27001」の序文、そして実務において特に重要となる「第4章から第10章」の要求事項について、ISMS導入の効果とあわせて詳しく解説します。
また、これからISMS認証の取得を検討される方に向けて、全体の工程を網羅した「ISMS認証取得ToDoリスト」をご用意しました。タスクの漏れを防ぎ、スムーズな準備を進めるために、ぜひ無料でダウンロードしてご活用ください。
ISMSをもとにした「JIS Q 27001」とは
ISMS(Information Security Management System)適合性評価制度とは、組織の情報資産を様々な脅威から守り、リスクを軽減させるための包括的なマネジメントシステムです。
このISMSを運用するための「ルールブック」の役割を果たすのが、ISMS規格です。2005年に国際規格「ISO/IEC 27001」が誕生して以来、時代の変化や技術の進歩に合わせて以下のように改訂が重ねられてきました。
- 2005年/2006年:「ISO/IEC 27001:2005」および「JIS Q 27001:2006」発行
- 2013年/2014年:「ISO/IEC 27001:2013」および「JIS Q 27001:2014」発行
- 2022年/2023年(最新):「ISO/IEC 27001:2022」発行にともない、2023年9月に最新版の「JIS Q 27001:2023」が発行
「JIS Q 27001」は第0章から第10章で構成されています。本記事では、各章の要点について詳しく解説していきます。
よくある疑問:「ISO/IEC 27001」と「JIS Q 27001」の違いは?
結論としては、両者の内容は実質的に同じです。
国際規格である「ISO/IEC 27001」は英語で記述されていますが、これを技術的な内容を変えずに日本語へ翻訳したものが日本産業規格(JIS)の「JIS Q 27001」です。そのため、国内企業が認証を取得する際は、日本語で作成された「JIS Q 27001」を審査基準として用いるのが一般的です。
なお、LRMではISMSの新規取得や運用にお困り方に向けて、ISMS認証取得コンサルティングを提供しています。規格の解釈から実務への落とし込みまで幅広くサポートいたしますので、ぜひ一度お気軽にご相談ください。
ISMSの3つの重要ポイント
規規格の詳細に入る前にISMSの核心である「情報を守るための仕組み」についておさらいしましょう。 ISMSでは、以下の「情報の3要素」のバランスを維持することが不可欠とされています。
- 機密性 (Confidentiality) :許可された者だけが情報にアクセスできること(情報の漏えいを防ぐ)。
- 完全性 (Integrity) :情報が正確で、改ざんや欠落がない状態を保つこと(情報の誤りを防ぐ)。
- 可用性 (Availability) :情報が必要なときにすぐに利用できること(システム停止などを防ぐ)。
ISMSを導入し、これら3要素を適切に管理することは、取引先や顧客に対して「自社はリスク管理を徹底している信頼できる企業である」と客観的に証明することにつながります。
また、ISMSは一度仕組みを作って終わりではありません。PDCAサイクルを回し続けることで、情報セキュリティのレベルを継続的に高めていくことが求められます。
従業員教育の重要性
ISMSの構築ができたら、現場の従業員に対する教育が不可欠です。どれほど強固なルールを策定しても、従業員一人ひとりがその内容を正しく理解し、実践できなければ形骸化してしまいます。組織全体でセキュリティ意識を共有することが、ISMS運用の第一歩となります。
ISMS教育の導入については以下の記事「ポイントは「対象者」「手段」「実施者」|ISMS教育の導入」で詳しく解説していますので、ぜひご覧ください。
JIS Q 27001の構成:導入部分(0〜3章)
規格の詳細な「要求事項(4~10章)」に入る前に、まずは規格の前提となる「導入部分(0~3章)」を理解しましょう。ここは、ISMSを運用する上での「憲法」のような役割を果たします。
0章 序文
規格の導入部分(序文)であり、ISMSの基本的な考え方や、規格の目的、他マネジメントシステムとの親和性について説明されています。
ISMSの目的として情報セキュリティの3要素である機密性・完全性・可用性(CIA)を維持することの重要性に触れています。
また、本規格は「ISO 9001(QMS)」や「ISO 14001(EMS)」など、他のマネジメントシステム規格と共通の構造(附属書SLという指針)にもとづいて作成されています。これにより、すでにQMSやEMSを運用している企業であれば、用語や構成が共通しているため、テーマは異なっても、マネジメントの仕組みとしての「両立性」が担保されているのが特徴です。
1章 適用範囲
ここでは、本規格が「どのような組織に適用できるか」について規定されています。
組織の規模、業種、形態を問わず、あらゆる組織に適用が可能です。小規模なスタートアップから大企業、官公庁までその対象を限定しません。
また、ISMSの認証を取得、あるいは規格に適合しようとする場合、第4章から第10章までの要求事項を一つも除外することはできません。すべての項目を満たすことが必須条件となります。
2章 引用規格 / 3章 用語及び定義
本規格で使用される用語については、情報セキュリティマネジメントシステムの用語集である「JIS Q 27000」にもとづいています。
実務を進める中で、専門用語の解釈に迷ったり不明な点がでてきたりした場合は、共通言語の基準として「JIS Q 27000」を参照し、組織内での認識を統一させる必要があります。
JIS Q 27001 の構成:要求事項(4章~10章)
ここからが、ISMS認証の取得・運用における最重要パートとなります。第4章から第10章には、組織が適合性を満たすために「何をするべきか」という具体的な要求事項が詳細にまとめられています。実務担当者が最も読み込み、理解を深めるべき核心部分を詳しく見ていきましょう。
4章 組織の状況
組織の目的と、ISMSが意図した成果を組織の能力に与えるための、外部及び内部の課題を決定しなければならないことが記載されています。
さらに以下の点について、事項を決定することが求められています。
- 組織の目的、内部・外部の課題の特定
- 利害関係者(顧客、従業員、取引先、規制当局など)の特定とその要求
- ISMSの適用範囲の決定(どの部署、どの事業所でISMSを適用するか)
ここで定めたISMSの適用範囲は、文書化した情報として利用可能な状態にしなければなりません。さらに組織は要求事項に従ってISMSを確立し、実施し、維持し、かつ継続的に改善しなければならないことが記載されています。
5章 リーダーシップ
組織のトップマネジメントが、ISMSに関するリーダーシップ及びコミットメントを実証しなければならないことが記載されています。さらに、トップマネジメントは情報セキュリティ方針の確立も求められます。
ここで確立された情報セキュリティ方針は、以下にあるような事項を満たす必要があります。
- 情報セキュリティ方針の策定
- 組織内の役割、責任、権限の割り当て
- 必要な資源(予算や人)の提供
そしてトップマネジメントは、セキュリティに関連する役割に対して、責任と権限を割り当てて伝達することを徹底しなければならないことが書かれています。
6章 計画
ISMSの計画を策定する時に、組織は4章に規定する課題と要求事項を考慮して、以下の事項を実現するためのリスクと機会を決定しなければならないことが記載されています。
- ISMSが意図した成果を達成できることを確実にする
- 望ましくない影響を防止あるいは低減する
- 継続的改善を達成する
そして組織は、上記のリスクと機会に対処するための活動について計画を立てなければならないとされています。
またこの項目では、セキュリティリスクアセスメントのプロセスを定めて適用しなければならないことも既定されています。ここでの注意点は以下となっています。
- 情報セキュリティのリスク基準を確立して維持すること
- 情報セキュリティリスクアセスメントに一貫性と妥当性があること
- 情報セキュリティリスクの特定が可能であり、分析できること
- 情報セキュリティリスクを評価できること
組織はこれらのセキュリティリスクアセスメントのプロセスについて文書化した情報の保持も求められます。また、そのプロセスについてセキュリティリスク対応として定めて適用しなければなりません。
7章 支援
組織はISMSの確立、実施、維持、継続的改善に必要な資源を決定し提供しなければならないことが記載されています。
- 資源: 人、モノ、金、情報などのリソース確保。
- 力量と教育: 従業員が必要な能力を持っているか判断し、教育・訓練を行うこと。
- コミュニケーション: 内部・外部への伝達方法の決定。
- 文書化した情報: マニュアルや記録類の管理方法。
8章 運用
6章で決定した活動を実施するための、プロセスの計画と実施および管理が規定されています。
- プロセスの実施と管理。
- 定期的なリスクアセスメントの実施。
- 計画したリスク対応策の実行と記録。
組織はプロセスが計画通りに実施されたと確信できる程度の文書化した情報を保持しなければならないとされています。またセキュリティリスクアセスメントやリスク対応など、さまざまな活動において、文書化した情報を保持することが求められています。
9章 パフォーマンス評価
ISMSが機能しているかを確認・評価するフェーズです。
- 監視、測定、分析及び評価: セキュリティ対策の効果測定。
- 内部監査: ルール通りに運用できているか、自社内でチェックする。
- マネジメントレビュー: 経営層によるISMSの見直しと指示。
この評価のために、組織は情報セキュリティプロセスとその管理策、監視・測定・分析および評価の方法、実施時期、実施者、などを決定しなければならないと記載されています。
また9章では、内部監査とマネジメントレビューについても規定されています。内部監査はISMSが要求事項に適合し有効に実施されていることを予め定められた間隔で実施することを求めています。
そしてトップマネジメントが、組織のISMSが適切で妥当および有効であることを定められた間隔でマネジメントレビューを行う必要があることも定められています。
10章 改善
不適合が発生した場合に修正するための処置を取ることや、不適合により発生した結果に対処することが記載されています。
- 不適合への対処と是正処置(再発防止策)。
- 継続的改善: ISMSを常に良いものへと進化させ続けること。
不適合の原因を除去するため処置の必要の評価や、是正処置の有効性のレビュー、さらに必要な場合はISMSの変更などの事項を行う必要があります。
まとめ
JIS Q 27001(ISMS)を運用する際、多くの方が「4章以降の要求事項」の遵守に注力しがちです。しかし、本質的なセキュリティ対策を実現するためには、0章から3章に記された「規格の意図」や「用語の定義」を正しく理解することが欠かせません。
「要求事項の遵守」はあくまで手段です。本来の目的は、自社の情報資産を守り、顧客からの信頼を獲得することにあります。
しかし、規格の要求事項は専門的で解釈が難しいのも事実です。LRMは、豊富な支援実績にもとづき、専属コンサルタントがISMS認証取得から運用までを徹底サポートいたします。
また、運用の効率化には情報セキュリティ教育クラウド「セキュリオ」の活用も効果的です。ISMS認証取得をご検討の方や、管理体制にお悩みの方は、ぜひお気軽にご相談ください。
