情報セキュリティマネジメントシステムであるISMSの認証基準として設けられたのが国際規格ISO/IEC 27001です。それをさらに日本語訳したものが、この記事で紹介するJIS Q 27001となります。この記事ではJIS Q 27001の序文から最終章まで、ISMSの効果を交えながら解説していきます。
また、企業のISMSを担当している方へ、LRMでは、ISMS規格改訂の取るべき対応を網羅したオンデマンド講座を提供しています。まずは無料サンプル動画をご覧ください。
ISMSを基にしたJIS Q 27001とは
ISMS(Information Security Management System)適合性評価制度(以下、ISMS)とは、情報資産を様々な脅威から守り、リスクを軽減させるための総合的な情報セキュリティマネジメントシステムのことです。
2005年10月にISMS認証基準として国際規格ISO/IEC 27001:2005が発行され、その後に国内規格JIS Q 27001:2006が発行されました。その後、2013年に改訂版ISO/IEC 27001:2013が発行され、翌年にJIS Q 27001:2014が発行されています。
さらに、2022年にISO27001:2022が発行され、2023年9月にJIS Q 27001:2023が発行されました。
JIS Q 27001は、0章から10章までの文章で構成されています。以下、各章ごとにその内容を見ていきましょう。
ISMSのポイントをおさらい
最初にJIS Q 27001の基であるISMSについておさらいしましょう。ISMSとは情報セキュリティマネジメントシステムのことであり、簡単に言うと組織の情報を保護するための仕組みやシステムのことです。
ISMSが保護すべき情報セキュリティは「機密性」「完全性」「可用性」のバランスを維持しながら、PDCAサイクルを回しながら継続的に改善されていきます。
機密性とは許可された者だけが情報にアクセスできること、完全性とは情報が完全な状態で保存されて正確であること、可用性とは情報が必要なときにアクセスできることを表しています。
ISMSに基づいて情報を管理することで、取引先や顧客に対して自社が信頼できる企業であることをアピールできます。情報を取り扱っている全ての企業において、組織マネジメントの一部と捉えて取り組むことが重要といえるでしょう。
ISMSの構築ができたら、現場の従業員に対する教育が必要です。全ての従業員に対してISMSをうまく活用するためにも、ルールや必要性を理解してもらわなければなりません。
ISMS教育の導入については「ポイントは「対象者」「手段」「実施者」|ISMS教育の導入」で詳しく解説していますので、ぜひご覧ください。
JIS Q 27001 – 0章
0章は以下の3項目で構成されています。
- 序文
- 概要
- 他のマネジメントシステム規格との両立性
それでは一つずつ見ていきましょう。
序文
序文では、JIS Q 27001は、国際規格であるISO/IEC27001から技術的な内容や構成を変更することなく作成した日本産業規格であるということが示されています。また、日本産業規格独自の部分は点線の下線を施している旨の記載もあります。
つまり、日本のJIS Q 27001と国際規格のISO/IEC 27001がほぼイコールである、ということを証明する項目です。
概要
概要はとても重要です。なぜなら「規格そのものの目的」や「ISMSの目的」などISMSの基礎として知っておくべき情報がたくさん詰まっているからです。
概要に書いてあるなかから重要なことをいくつかご紹介します。
規格の作成意図
ISMSを確立し、実施し、維持し、継続的に改善するための要求事項を提供するために作成されたもの。つまり、規格自体がISMSの取り組みのために作られたものであると証明しています。
ISMSの効果
次に、リスクマネジメントのプロセスを適用することで、「機密性」「完全性」「可用性」を維持し、リスクを適切に管理しているという信頼を利害関係者に与えると記載されています。
ここでの「機密性」「完全性」「可用性」とは情報セキュリティの3大要素のことです。
そもそもISMSって何?という疑問を持たれる方も多くいると思いますが、実は規格のはじめに、上記のような効果をもたらすためのものであるということが記載されているのです。
この効果を理解しているのとしていないのでは、取り組みの方向性やモチベーションにも大きな差が出るのではないでしょうか。
JIS Q 27001の規格は、組織が持つ情報セキュリティの要求事項を満たすための能力を、組織の内部で評価するだけでなく、外部の利害関係者が評価するためにも用いることができるわけです。
ほかのマネジメントシステム規格との両立性
JIS Q 27001の基でもあるISO/IEC27001をはじめとしたISOの国際規格は現在、附属書SLという指針に規定された構成に基づいて作成がなされており、そのことについてこの項で紹介されています。
ちなみに、共通の構成に基づいて作成している理由としては、ISOの各規格の両立性を担保することで、いくつかのマネジメントシステムを適用してもひとつにまとめて分かりやすい運用を行いやすくできるようにするためです。
例えば、ISMS以外に、品質をテーマとしたQMSや、環境をテーマとしたEMSなどのマネジメントシステムを聞いたことのある方もいるのではないでしょうか。
これらは対象となるテーマは違うのですが、ISOの規格同士の両立性が保たれているため一つのマネジメントシステムとしてまとめて運用がしやすいです。
JIS Q 27001 – 1章~3章
上記までが0章の内容でした。引き続き1章から3章はそれぞれ一つの項目で成り立っています。
1章 適用範囲
この項目では、この規格の前提となる考え方などについて記載されています。例えば、以下のようなものが挙げられます。
まずJIS Q 27001が規定しているものは、以下の2つです。
- 組織の状況下で、ISMSの確立~継続的改善のための要求事項を規定している
- 組織のニーズごとの情報セキュリティのリスクアセスメントやリスク対応のための要求事項も規定している
また、JIS Q 27001で規定していることは、汎用的なもので全組織に適用できます。
さらに、組織がJIS Q 27001に適合する場合は、JIS Q 27001の4章から10章のどれも除外してはなりません。
つまり、JIS Q 27001はISMSのための要求事項がまとめてあるもので、適用するのであれば4章~10章すべて守る必要があるのです。
2章 引用規格
この項目では、JIS Q 27000(用語集)は、この規格に引用されることで、規格の規定の一部を構成する、ということが記載されています。そして、引用されるJIS Q 27000は常に最新版のものになるということが付け加えられています。
3章 用語及び定義
2章と大きな違いはないですが、JIS Q 27001に出てくる用語や定義はJIS Q 27000に定められている、ということが記載されています。そのため、JIS Q 27001を見てわからない用語が出てきた際に、JIS Q 27000の該当箇所を確認すると、説明されている場合があります。ただしその説明が難解なケースもあります。
JIS Q 27001 – 4章~10章
引き続き4章から10章までの内容を見ていきましょう。
4章 組織の状況
この項目では、組織の目的と、ISMSが意図した成果を組織の能力に与えるための、外部及び内部の課題を決定しなければならないことが記載されています。
さらに以下の点について、事項を決定することが求められています。
- ISMSに関連する利害関係者
- その利害関係者の情報セキュリティに関連する要求事項
- ISMSの適用範囲
ここで定めたISMSの適用範囲は、文書化した情報として利用可能な状態にしなければなりません。さらに組織は、ISMSの要求事項にしたがってISMSを確立し、実施し、維持し、かつ継続的に改善しなければならないことが記載されています。
5章 リーダーシップ
この項目では、組織のトップマネジメントが、ISMSに関するリーダーシップ及びコミットメントを実証しなければならないことが記載されています。さらに、トップマネジメントは情報セキュリティ方針の確立も求められます。
ここで確立された情報セキュリティ方針は、以下にあるような事項を満たす必要があります。
- 文書化した情報として利用可能な状態
- 組織内に伝達される
- 必要に応じて、利害関係者が入手可能
そしてトップマネジメントは、情報セキュリティに関連する役割に対して、責任と権限を割り当てて伝達することを徹底しなければならないことが書かれています。
6章 計画策定
この項目では、ISMSの計画を策定する時に、組織は4章に規定する課題と要求事項を考慮して、以下の事項を実現するためのリスクと機会を決定しなければならないことが記載されています。
- ISMSが意図した成果を達成できることを確実にする
- 望ましくない影響を防止あるいは低減する
- 継続的改善を達成する
そして組織は、上記のリスクと機会に対処するための活動について計画を立てなければならないとされています。
またこの項目では、情報セキュリティリスクアセスメントのプロセスを定めて適用しなければならないことも既定されています。ここでの注意点は以下です。
- 情報セキュリティのリスク基準を確立して維持すること
- 情報セキュリティリスクアセスメントに一貫性と妥当性があること
- 情報セキュリティリスクの特定が可能であり、分析できること
- 情報セキュリティリスクを評価できること
組織はこれらの情報セキュリティリスクアセスメントのプロセスについて文書化した情報の保持も求められます。また、そのプロセスについて情報セキュリティリスク対応として定めて適用しなければなりません。
7章 支援
この項目では、組織はISMSの確立、実施、維持、継続的改善に必要な資源を決定し提供しなければならないことが書かれています。そのために組織は、情報セキュリティパフォーマンスに影響を与える業務を行う人に必要な力量を決定し、適切に教育・訓練してその力量を備えていることを確実にしなければならないとしています。
また組織で働く人々は、情報セキュリティ方針や、ISMSの有効性への自らの貢献、ISMS要求事項に適合しないことの意味を認識することが必要であるとされています。
また7章では、組織の内部と外部に関するコミュニケーションの必要性と文書化の条件についても定めています。
組織のISMSは、ISMSの有効性のために必要であると組織が決定した文書化した情報が必要です。この文書には、タイトルや日付などの適切な識別及び記述、適切な形式、適切性及び妥当性に関する適切なレビュー及び承認が必要であり、管理されることが必要です。
8章 運用
この項目では、6章で決定した活動を実施するための、プロセスの計画と実施および管理が規定されています。
組織はプロセスが計画通りに実施されたと確信できる程度の文書化した情報を保持しなければならないとされています。また情報セキュリティリスクアセスメントや情報セキュリティリスク対応など、さまざまな活動において、文書化した情報を保持することが求められています。
9章 パフォーマンス評価
この項目では、情報セキュリティパフォーマンスおよびISMSの有効性の評価を定めています。
この評価のために、組織は情報セキュリティプロセスとその管理策、監視・測定・分析および評価の方法、監視及び測定の実施時期、監視及び測定の実施者、監視及び測定結果の分析と評価の時期、そしてその実施者、などを決定しなければならないと記述されています。
また9章では、内部監査とマネジメントレビューについても規定されています。内部監査は、ISMSが要求事項に適合し有効に実施されていることを予め定められた間隔で実施することを求めています。
そしてトップマネジメントが、組織のISMSが適切で妥当および有効であることを定められた間隔でマネジメントレビューしなければならないことも定められています。内部監査およびマネジメントレビューには、それぞれ考慮すべき事項があることも記載されています。
10章 改善
この項目では、不適合が発生した場合に修正するための処置を取ることや、不適合により発生した結果に対処することが記載されています。具体的には、その不適合の原因を除去するため処置の必要の評価や、是正処置の有効性のレビュー、さらに必要な場合はISMSの変更などの事項を行わなければならないとされています。
まとめ
JIS Q 27001の序文から最終章までざっとご紹介してきました。多くの方は要求事項がかかれた4章以降から見ているかもしれませんが、0章から3章までの内容もJIS Q 27001の全体像を理解するには重要なパートです。
「要求事項を守るために」と確認することの多い規格ですが、背景や基礎の考え方を把握することで、ISMSへの考え方や向き合い方をより明確化することができるのではないでしょうか。
また、LRM株式会社では、ISMS/ISO27001認証取得コンサルティングを行っております。2,300社以上の実績に基づくノウハウで、専門コンサルタントチームが取得までしっかりサポートします。また、セキュリティ教育クラウド「セキュリオ」で、効率的にISMSを運用できます。ISMS認証取得をご検討されている方や社内の情報セキュリティ管理にお悩みの方は、お気軽にご相談ください。