JIS Q 27001(ISO27001)の序文から最終章までISMSの効果なども交えながら解説

この記事は約10分で読めます。

情報セキュリティマネジメントシステムであるISMSの認証基準として設けられたのが国際規格ISO/IEC 27001です。それをさらに日本国内向けの規格としたものが、この記事で紹介するJIS Q 27001となります。この記事ではJIS Q 27001の序文から最終章まで、ISMSの効果を交えながら解説していきます。

また、ISMS認証の取得に向けて何から始めたらよいかわからない、という方向けに、ISMS認証取得までのTodoリストをご用意しております。まずはお気軽に無料でダウンロードしてご覧ください。

思い立ってから審査当日まで!やるべきことが一目瞭然!

ISMSを基にしたJIS Q 27001とは

ISMS(Information Security Management System)適合性評価制度(以下、ISMS)とは、情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティマネジメントシステムのことです。

2005年10月にISMS認証基準として国際規格ISO/IEC 27001:2005が発行され、その後に国内規格JIS Q 27001:2006が発行されました。

JIS Q 27001は、0章から10章までの文章で構成されています。以下、各章ごとにその内容を見ていきましょう。

0章

0章は以下の3項目で構成されています。

  • 序文
  • 概要
  • 他のマネジメントシステム規格との両立性

それでは一つずつ見ていきましょう。

序文

序文では、「JIS Q 27001は、国際規格であるISO/IEC27001から技術的な内容や構成を変更することなく作成した、日本産業規格です」ということが示されています。プラスアルファで「日本産業規格独自の部分は点線の下線を引いています」ということが紹介されています。

つまり、日本のJIS Q 27001と国際規格のISO/IEC 27001がほぼイコールである、ということを証明する項目です。

概要

この項目、実はとても重要です。というのもこの項目では、「規格そのものの目的」「ISMSの目的」などISMSの基礎として知っておくべき情報がたくさん詰まっているからです。

概要に書いてあるなかから重要なことをいくつかご紹介します。

規格の作成意図

ISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供するために作成されたもの。つまり、規格自体がISMSの取り組みのために作られたものであると証明しています。

ISMSの効果

次に、リスクマネジメントのプロセスを適用することで、「機密性」「完全性」「可用性」を維持することで、リスクを適切に管理しているという信頼を利害関係者に与えると記載されています。

ここでの「機密性」「完全性」「可用性」とは情報セキュリティの3大要素のことです。

そもそもISMSって何?という疑問を持たれる方も多くいると思いますが、実は規格のはじめに、上記のような効果をもたらすためのものであるということが記載されているのです。

この効果を理解しているのとしていないのでは、取り組みの方向性やモチベーションにも大きな差が出るのではないでしょうか。

JIS Q 27001の規格は、組織が持つ情報セキュリティの要求事項を満たすための能力を、組織の内部で評価するだけでなく、外部の利害関係者が評価するためにも用いることができるわけです。

ほかのマネジメントシステム規格との両立性

JIS Q 27001の基でもあるISO/IEC27001をはじめとしたISOの国際規格は現在、附属書SLという指針に規定された構成に基づいて作成がなされており、そのことについてこの項で紹介されています。

ちなみに、共通の構成に基づいて作成している理由としては、ISOの各規格の両立性を担保することで、いくつかのマネジメントシステムを適用してもひとつにまとめて分かりやすい運用を行いやすくできるようにするためです。

例えば、ISMS以外に、品質をテーマとしたQMSや、環境をテーマとしたEMSなどのマネジメントシステムを聞いたことのある方もいるのではないでしょうか。これらは対象となるテーマは違うのですが、ISOの規格同士の両立性が保たれているため一つのマネジメントシステムとしてまとめて運用がしやすいです。

1章~3章

上記までが0章の内容でした。引き続き1章から3章はそれぞれ一つの項目で成り立っています。

1章 適用範囲

この項目では、この規格の前提となる考え方などについて記載されています。例えば、以下のようなものが挙げられます。

まずJIS Q 27001が規定しているものは、以下の2つです。

  • 組織の状況下で、ISMSの確立~継続的改善のための要求事項を規定している
  • 組織のニーズごとの情報セキュリティのリスクアセスメントやリスク対応のための要求事項も規定している

また、JIS Q 27001で規定していることは、汎用的なもので、全組織に適用できることを意図しています。

さらに、組織がJIS Q 27001に適合する場合は、JIS Q 27001の4章から10章のどれも除外してはなりません。

つまり、JIS Q 27001はISMSのための要求事項がまとめてあるもので、適用するのであれば4章~10章すべて守る必要があるということを述べています。

2章 引用規格

この項目では、JIS Q 27000(用語集)は、この規格に引用されることで、規格の規定の一部を構成しますよということが記載されています。そして、引用されるJIS Q 27000は常に最新版のものになるということが付け加えられています。

3章 用語及び定義

2章と大きな違いはないですが、JIS Q 27001に出てくる用語や定義はJIS Q 27000に定めていますということが記載されています。ですので、JIS Q 27001を見てわからない用語が出てきた際に、JIS Q 27000の該当箇所を確認すると、説明されている場合があります。(説明文自体がわかりにくいものもありますが…)

4章~10章

引き続き4章から10章までの内容を見ていきましょう。

4章 組織の状況

この項目では、組織の目的と、ISMSが意図した成果を組織の能力に与えるための、外部及び内部の課題を決定しなければならないことが記載されています。

さらに以下の点について、事項を決定することが求められています。

  • ISMSに関連する利害関係者
  • その利害関係者の情報セキュリティに関連する要求事項
  • ISMSの適用範囲を定めるための、境界と適用可能性

ここで定めたISMSの適用範囲は、文書化した情報として利用可能な状態にしなければなりません。さらに組織は、ISMSの要求事項にしたがってISMSを確立し、実施し、維持し、かつ継続的に改善しなければならないことが記載されています。

5章 リーダーシップ

この項目では、組織のトップマネジメントが、ISMSに関するリーダーシップ及びコミットメントを実証しなければならないことが記載されています。さらに、トップマネジメントは情報セキュリティ方針の確立も求められます。ここで確立された情報セキュリティ方針は、以下の事項を満たす必要があります。

  • 文書化した情報として利用可能な状態にする
  • 組織内に伝達する
  • 必要に応じて、利害関係者が入手可能な状態にする

そしてトップマネジメントは、情報セキュリティに関連する役割に対して、責任と権限を割り当てて伝達することを徹底しなければならないことが書かれています。

6章 計画

この項目では、ISMSの計画を策定する時に、組織は4章に規定する課題と要求事項を考慮して、以下の事項を実現するためのリスクと機会を決定しなければならないことが記載されています。

  • ISMSが意図した成果を達成できることを確実にする
  • 望ましくない影響を防止あるいは低減する
  • 継続的改善を達成する

そして組織は、上記のリスクと機会に対処するための活動について計画を立てなければならないとされています。

またこの項目では、情報セキュリティリスクアセスメントのプロセスを定めて適用しなければならないことも既定されています。ここでの注意点は以下です。

  • 情報セキュリティのリスク基準を確立して維持すること
  • 情報セキュリティリスクアセスメントに一貫性と妥当性があること
  • 情報セキュリティリスクの特定が可能であり、分析できること
  • 情報セキュリティリスクを評価できること

組織はこれらの情報セキュリティリスクアセスメントのプロセスについて文書化した情報の保持も求められます。またそのプロセスについて情報セキュリティリスク対応として定めて適用しなければなりません。

7章 支援

この項目では、組織はISMSの確立、実施、維持、継続的改善に必要な資源を決定し提供しなければならないことが書かれています。そのために組織は、情報セキュリティパフォーマンスに影響を与える業務を行う人に必要な力量を決定し、適切に教育・訓練してその力量を備えていることを確実にしなければならないとしています。

また組織で働く人々は、情報セキュリティ方針や、ISMSの有効性への自らの貢献、ISMS要求事項に適合しないことの意味を認識することが必要であるとされています。

また7章では、組織の内部と外部に関するコミュニケーションの必要性と文書化の条件についても定めています。

組織のISMSは、ISMSの有効性のために必要であると組織が決定した文書化した情報が必要です。この文書には、タイトルや日付などの適切な識別及び記述適切な形式適切性及び妥当性に関する適切なレビュー及び承認が必要であり、管理されることが必要です。

8章 運用

この項目では、6章で決定した活動を実施するための、プロセスの計画と実施および管理が規定されています。

組織はプロセスが計画通りに実施されたと明らかになる程度の文書化した情報を保持しなければならないとされています。また情報セキュリティリスクアセスメントや情報セキュリティリスク対応など、さまざまな活動において、文書化した情報を保持することが求められています。

9章 パフォーマンス評価

この項目では、情報セキュリティパフォーマンスおよびISMSの有効性の評価を定めています。この評価のために、組織は情報セキュリティプロセスとその管理策監視・測定・分析および評価の方法監視及び測定の実施時期監視及び測定の実施者監視及び測定結果の分析と評価の時期そしてその実施者、などを決定しなければならないと記述されています。

また9章では、内部監査とマネジメントレビューについても規定されています。内部監査は、ISMSが要求事項に適合し有効に実施されていることを予めの定められた間隔で実施されることを求めています。

そしてトップマネジメントが、組織のISMSが適切で妥当および有効であることを定められた間隔でマネジメントレビューしなければならないことも定められています。内部監査およびマネジメントレビューには、それぞれ考慮すべき事項があることも記載されています。

10章 改善

この項目では、不適合が発生した場合に修正するための処置を取ることや、不適合により発生した結果に対処することが記載されています。具体的には、その不適合の原因を除去するため処置の必要の評価や、是正処置の有効性のレビュー、さらに必要な場合はISMSの変更などの事項を行わなければならないとされています。

まとめ

この記事ではJIS Q 27001の序文から最終章までざっとご紹介してきました。多くの方は要求事項がかかれた4章以降から見ているかもしれませんが、0章から3章までの内容もJIS Q 27001の全体像を理解するには重要なパートです。

「要求事項を守るために」と確認することの多い規格ですが、背景や基礎の考え方を把握することで、ISMSへの考え方や向き合い方をより明確化することができるのではないでしょうか。

弊社ではISMS認証取得/運用支援サービスを行っております。会社のスタイルに合わせ、自社で「運用できる」認証をこれまでに2,300社以上ご支援してまいりました。ISMS認証取得にご興味のある方、運用でお困りごとのある方は、まずはお気軽に無料でご相談ください。

ISMS / ISO27001認証取得を目指す
タイトルとURLをコピーしました