本を読む際に「はじめに」を、興味を持ったり全体像を把握するための手段として、大切にされる方も多いのではないでしょうか。

ではISMSの土台である規格JIS Q 27001の「はじめに」にあたる部分を読んだことはあるでしょうか。
多くの方が要求事項が記載された4章以降から見ているのではないかと思います。

実は、普段あまり目を向けられない0章~3章がJIS Q 27001でいうと「はじめに」のように概要や背景などを紹介した項目にあたります。

そこで今回は、普段紹介されることの少ないJIS Q 27001の0章~3章をご紹介します。

0章

0章は以下の3項目で構成されています。

  • 序文
  • 概要
  • 他のマネジメントシステム規格との両立性

0 序文

序文では、「JIS Q 27001は、国際規格であるISO/IEC27001から技術的な内容や構成を変更することなく作成した、日本産業規格です」ということが示されています。
+αで「日本産業規格独自の部分は点線の下線を引いてます」ということが紹介されています。
つまり、日本のJIS Q 27001と国際規格のISO/IEC27001がほぼイコールである、ということを証明する項目です。

0.1 概要

この項目、実はとても重要です。
というのもこの項目では、「規格そのものの目的」や「ISMSの目的」などISMSの基礎として知っておくべき情報がたくさん詰まっています。

概要に書いてあるなかから重要なことをいくつかご紹介します。

規格の作成意図

ISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供するために作成されたもの。
つまり、規格自体がISMSの取り組みのために作られたものであると証明しています。

ISMSの効果
  1. リスクマネジメントのプロセスを適用することで、「機密性」「完全性」「可用性」を維持できるようにする。
  2. リスクを適切に管理しているという信頼を利害関係者に与える

そもそもISMSって何?という疑問を持たれる方も多くいると思いますが、実は規格のはじめに、上記のような効果をもたらすためのものであるということが記載されているのです。
この効果を理解しているのとしていないのでは、取り組みの方向性やモチベーションにも大きな差が出るのではないでしょうか。

0.2 ほかのマネジメントシステム規格との両立性

JIS Q 27001の基でもあるISO/IEC27001をはじめとしたISOの国際規格は現在、附属書SLという指針に規定された構成に基づいて作成がなされており、そのことについてこの項で紹介されています。

ちなみに、共通の構成に基づいて作成している理由としては、ISOの各規格の両立性を担保することで、いくつかのマネジメントシステムを適用してもひとつにまとめて分かりやすい運用を行いやすくできるようにするためです。

例えば、ISMS以外に、品質をテーマとしたQMSや、環境をテーマとしたEMSなどのマネジメントシステムを聞いたことのある方もいるのではないでしょうか。
これらは対象となるテーマは違うのですが、ISOの規格同士の両立性が保たれているため一つのマネジメントシステムとしてまとめて運用がしやすいです。

1章~3章

1章~3章はそれぞれ一つの項目で成り立っています。

1章 適用範囲

この項目では、この規格の前提となる考え方などについて記載されています。
例えば、以下のようなものが挙げられます。

  • JIS Q 27001は、
    • 組織の状況下で、ISMSの確立~継続的改善のための要求事項を規定している
    • 組織のニーズごとの情報セキュリティのリスクアセスメントやリスク対応のための要求事項も規定している
  • JIS Q 27001で規定していることは、汎用的なもので、全組織に適用できることを意図している
  • 組織がJIS Q 27001に適合する場合は、4章~10章のどれも除外してはいけない

つまり、JIS Q 27001はISMSのための要求事項がまとめてあるもので、適用するのであれば4章~10章すべて守る必要があるということを述べています。

2章 引用規格

この項目では、JIS Q 27000(用語集)は、この規格に引用されることで、規格の規定の一部を構成しますよということが記載されています。
そして、引用されるJIS Q 27000は常に最新版のものになるということが付け加えられています。

3章 用語及び定義

2章と大きな違いはないですが、JIS Q 27001に出てくる用語や定義はJIS Q 27000に定めていますということが記載されています。
ですので、JIS Q 27001を見てわからない用語が出てきた際に、JIS Q 27000の該当箇所を確認すると、説明されている場合があります。(説明文自体がわかりにくいものもありますが…)

まとめ

今回は、ISMSを運用していても意外と触れることの少ない0章~3章について紹介しました。
「要求事項を守るために」と確認することの多い規格ですが、背景や基礎の考え方を把握することで、ISMSへの考え方や向き合い方をより明確化することができるのではないでしょうか。

本の「はじめに」を読むように、規格も全体像を把握してみませんか。

参考

JIS Q 27001(ISO27001)を「序文」から読んでみる

本を読む際に「はじめに」を、興味を持ったり全体像を把握するための手段として、大切にされる方も多いのではないでしょうか。

ではISMSの土台である規格JIS Q 27001の「はじめに」にあたる部分を読んだことはあるでしょうか。
多くの方が要求事項が記載された4章以降から見ているのではないかと思います。

実は、普段あまり目を向けられない0章~3章がJIS Q 27001でいうと「はじめに」のように概要や背景などを紹介した項目にあたります。

そこで今回は、普段紹介されることの少ないJIS Q 27001の0章~3章をご紹介します。

0章

0章は以下の3項目で構成されています。

  • 序文
  • 概要
  • 他のマネジメントシステム規格との両立性

0 序文

序文では、「JIS Q 27001は、国際規格であるISO/IEC27001から技術的な内容や構成を変更することなく作成した、日本産業規格です」ということが示されています。
+αで「日本産業規格独自の部分は点線の下線を引いてます」ということが紹介されています。
つまり、日本のJIS Q 27001と国際規格のISO/IEC27001がほぼイコールである、ということを証明する項目です。

0.1 概要

この項目、実はとても重要です。
というのもこの項目では、「規格そのものの目的」や「ISMSの目的」などISMSの基礎として知っておくべき情報がたくさん詰まっています。

概要に書いてあるなかから重要なことをいくつかご紹介します。

規格の作成意図

ISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供するために作成されたもの。
つまり、規格自体がISMSの取り組みのために作られたものであると証明しています。

ISMSの効果
  1. リスクマネジメントのプロセスを適用することで、「機密性」「完全性」「可用性」を維持できるようにする。
  2. リスクを適切に管理しているという信頼を利害関係者に与える

そもそもISMSって何?という疑問を持たれる方も多くいると思いますが、実は規格のはじめに、上記のような効果をもたらすためのものであるということが記載されているのです。
この効果を理解しているのとしていないのでは、取り組みの方向性やモチベーションにも大きな差が出るのではないでしょうか。

0.2 ほかのマネジメントシステム規格との両立性

JIS Q 27001の基でもあるISO/IEC27001をはじめとしたISOの国際規格は現在、附属書SLという指針に規定された構成に基づいて作成がなされており、そのことについてこの項で紹介されています。

ちなみに、共通の構成に基づいて作成している理由としては、ISOの各規格の両立性を担保することで、いくつかのマネジメントシステムを適用してもひとつにまとめて分かりやすい運用を行いやすくできるようにするためです。

例えば、ISMS以外に、品質をテーマとしたQMSや、環境をテーマとしたEMSなどのマネジメントシステムを聞いたことのある方もいるのではないでしょうか。
これらは対象となるテーマは違うのですが、ISOの規格同士の両立性が保たれているため一つのマネジメントシステムとしてまとめて運用がしやすいです。

1章~3章

1章~3章はそれぞれ一つの項目で成り立っています。

1章 適用範囲

この項目では、この規格の前提となる考え方などについて記載されています。
例えば、以下のようなものが挙げられます。

  • JIS Q 27001は、
    • 組織の状況下で、ISMSの確立~継続的改善のための要求事項を規定している
    • 組織のニーズごとの情報セキュリティのリスクアセスメントやリスク対応のための要求事項も規定している
  • JIS Q 27001で規定していることは、汎用的なもので、全組織に適用できることを意図している
  • 組織がJIS Q 27001に適合する場合は、4章~10章のどれも除外してはいけない

つまり、JIS Q 27001はISMSのための要求事項がまとめてあるもので、適用するのであれば4章~10章すべて守る必要があるということを述べています。

2章 引用規格

この項目では、JIS Q 27000(用語集)は、この規格に引用されることで、規格の規定の一部を構成しますよということが記載されています。
そして、引用されるJIS Q 27000は常に最新版のものになるということが付け加えられています。

3章 用語及び定義

2章と大きな違いはないですが、JIS Q 27001に出てくる用語や定義はJIS Q 27000に定めていますということが記載されています。
ですので、JIS Q 27001を見てわからない用語が出てきた際に、JIS Q 27000の該当箇所を確認すると、説明されている場合があります。(説明文自体がわかりにくいものもありますが…)

まとめ

今回は、ISMSを運用していても意外と触れることの少ない0章~3章について紹介しました。
「要求事項を守るために」と確認することの多い規格ですが、背景や基礎の考え方を把握することで、ISMSへの考え方や向き合い方をより明確化することができるのではないでしょうか。

本の「はじめに」を読むように、規格も全体像を把握してみませんか。

参考

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする