1.JISQ27001及びISMSとは
ISMSとは、情報セキュリティマネジメントシステム(Information Security Management System)を略して呼びやすくしたもので、組織の情報を守るためのシステム・仕組みを指します。
簡単に言うと、「情報を守る仕組み」のことです。
一方、JIS Q 27001とは、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項をまとめた日本工業規格(JIS)のひとつです。
2.ISO/IEC27001とJISQ27001の関係
ISO/IEC27001というスラッシュ表記は、ISOとIEC合同で制定した規格に使用されるものです。
ISO:International Organization for Standardization:国際標準化機構
IEC:International Electrotechnical Commission:国際電気標準会議
ISOを日本企業向けに日本語で分かりやすくしたものがJISQ27001です。ISO/IEC27001とは書かれている言語が違うだけで、中身はほとんど同じです。
⑴発行時期のずれ
英語で記載された原書発行年は2013年ですが日本語訳化されたものはこの発行後翻訳活動が行われますので、記載がJISQ27001:2014となっている場合もあります。
ISMS(ISO27001)という規格の最新版としての認識は2013年版と言えます。
⑵JISQ27001の最新版は?
2006年にJISQ27001:2006(第1版)発行された後、ISO/IEC27001:2005の改訂に伴いJISも改訂が行われ、
2014年3月に、現在の最新版であるJISQ27001:2014(第2版)が発行されました。
その後、2022年10月にISO27001の規格改訂が完了しました。
2023年6月現在、その日本語版であるJISQ27001の発行を待っています。
⑶予想される規格改訂時期
2022年2月にISO27001の関連規格であるISO27002の改訂が行われ、2022年10月にはISO27001の改訂が完了しています。
日本語版であるJISQ27001は2023年7月~8月頃に発行されると考えられます。
なお、今回の規格改訂は、管理策の変更に伴う付属書Aの改訂がメインです。
114項目あった管理策が全93項目に削減されています。
ISO27001の規格改訂最新情報については、こちらの記事にて詳しく解説しております。合わせてご覧ください。
3.JISQ27001とプライバシーマークの違い
JISQ27001とプライバシーマーク(Pマーク)はどちらも、情報の保護をするためのマネジメントシステムですが、保護する対象が異なります。
プライバシーマーク(Pマーク)では個人情報だけが対象ですが、ISO27001(ISMS)においては情報資産すべてが対象になります。
比較するとISO27001のほうが保護の対象範囲が広く、マネジメントシステムの構築に時間がかかることが多いです。
また、プライバシーマーク(Pマーク)は日本だけの規格です。日本国内でしか通用しません。
一方、ISO27001は国際標準規格ですので、グローバルな認証と言えます。
国際的なやりとりが発生する企業はISO27001(ISMS)を取得されるケースが多いです。
詳しくはこちらの記事をご覧ください。
4.ISMSに準拠する情報セキュリティとは
ISMSの情報セキュリティとは、組織が保護すべき情報資産について機密性(C)・完全性(I)・可用性(A)をバランスよく維持し改善することです。- 機密性(Confidentiality):外部に開示できないもの及び、社内で閲覧制限があるもの
- 完全性(Integrity):内容に誤りや改ざんがあった場合、業務・サービス及び社外・会社全体に影響を及ぼすもの
- 可用性(Availability):1日程度の利用停止で支障が出る且つ、利用停止があった場合に業務・サービス及び社内・会社全体に影響を及ぼすもの
ISMSの情報セキュリティについて、詳しくはこちらの記事をご覧ください。
5.ISMSのポイントはPDCAサイクル
PDCAサイクルとは計画、実行、チェック、改善を順に行っていくことで、マネジメントシステムを継続的に改善していくことができます。
マネジメントシステムは、組織の事業活動をより良くするためのものであり、PDCAサイクルはその活動基盤となるため、大切です。同じ失敗を繰り返さないため、もしくは今のやり方を改善していくために、PDCAサイクルを回していきましょう。
ISO27001の規格要求事項もPDCAサイクルの考え方を取り入れています。
- PLAN:ISMSの確立
- DO:ISMSの導入及び運用
- CHECK:ISMSの監視及びレビュー
- ACTION:ISMSの維持及び改善
ISMSのPDCAサイクルについて、詳しくはこちらの記事をご覧ください。
6.要求事項解説
ISMSは1章から10章で構成されています。
1章から順に説明していきます。
1章 適用範囲
JISQ27001が規定しているものが、以下の2つです。
- 組織の状況の下で、ISMSを確立し、実施し、維持し、継続的に改善するための要求事項 について規定している
- 組織のニーズに応じて調整した情報セキュリティのリスクアセスメント 及びリスク対応を行うための要求事項についても規定している
この規格が規定する要求事項は、汎用的であり、全ての組織に適用できることを意図しています。
組織がJISQ27001に適合する場合、JISQ27001の4章から10章のどれも除外してはなりません。
JISQ27001はISMSのための要求事項がまとめてあるものです。適用するのであれば4章~10章すべて守る必要があります。
2章 引用規格
JISQ27001はJISQ27000(用語集)を引用しており、JISQ27001が引用するJISQ27000(用語集)は最新版であることが記載されています。
3章 用語及び定義
JISQ27001に出てくる用語や定義はJISQ27000に定めていますということが記載されています。
4章 組織の状況
組織の目的と、ISMSの意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならないことが書かれています。
また、以下の事項を決定することが求められています。
- ISMSに関連する利害関係者
- その利害関係者の情報セキュリティに関連する要求事項
- ISMS の適用範囲を定めるための境界及び適用可能性
さらに、組織は、規格の要求事項に従って、ISMSを確立し、実施し、維持し、かつ、継続的に改善しなければならないということが記載されています。
ここで定めたISO27001(ISMS)の適用範囲は、文書化し、いつでも利用可能な状態にしておかなければならないので注意です。
5章 リーダーシップ
トップマネジメントは、次に示す事項によって、ISMSに関するリーダーシップ及びコミットメントを実証しなければならないということが記載されています。
加えて、トップマネジメントは情報セキュリティ方針の確立も求められています。
情報セキュリティ方針は、以下の事項を満たす必要があります。
- 文書化した情報として利用可能である
- 組織内に伝達する
- 必要に応じて、利害関係者が入手可能である
また、トップマネジメントは、情報セキュリティに関連する役割に対して、責任及び権限を割り当て、伝達することを確実にしなければならないことも記載されています。
6章 計画
ここでは、ISMSの計画を策定する時に、組織は4章に規定する課題と要求事項を考慮して、以下の事項を実現するためのリスクと機会を決定しなければならないことが記載されています。
- ISMSが意図した成果を達成できることを確実にする
- 望ましくない影響を防止又は低減する
- 継続的改善を達成する
組織は、上記のリスクと機会に対処する活動や、その活動の方法の計画を立てなければいけません。
また、ここでは情報セキュリティリスクアセスメントのプロセスを定め、適用しなければならないことも記載されています。
- リスク基準を確立し、維持すること
- リスクアセスメントに一貫性及び妥当性があること
- リスクを特定すること
- リスクを分析すること
- リスクを評価すること
そして、組織は、情報セキュリティアセスメントのプロセスについての文書化した情報を保持しなければなりません。
さらに、組織は関連する部門及び階層において、情報セキュリティ目的を確立しなければならず、この目的に関する文書化した情報も保持しなければなりません。
7章 支援
組織は、ISMS の確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならないことが記載されています。
組織は情報セキュリティパフォーマンスに影響を与える業務を行う人に必要な力量を決定し、適切な教育、訓練を行い力量を備えていることを確実にしなければなりません。
また、組織で働く人々は、情報セキュリティ方針、ISMS の有効性に対する自らの貢献、ISMS要求事項に適合しないことの意味について認識をもつ必要があります。
組織は、ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければなりません。
さらに、組織のISMSは、この規格が要求する文書化した情報や、ISMSの有効性のために必要であると組織が決定した文書化した情報が必要となります。
タイトルや日付等の識別及び記述、適切な形式、適切性及び妥当性に関するレビュー及び承認が必要であり、管理することが必要です。
8章 運用
6章で立てた計画を実施し、管理しなければならないことが記載されています。
また、プロセスが計画通りに実施されたという確信をもつために必要な文書化した情報を保持しなければなりません。
そして、情報セキュリティリスクアセスメントや、情報セキュリティリスク対応などの活動において、文書化した情報を保持することが求められています。
9章 パフォーマンス評価
情報セキュリティパフォーマンス及びISMSの有効性の評価を定めています。
ISMSの要求事項に関する適合状況や、組織が決定したリスク対応の状況を監視、測定し、組織からのフィードバックを求めるための分析及び評価をします。
必要な監視、測定の対象、方法、実施時期を明確にし、文書化した情報を保持することが求められています。
この9章では、内部監査とマネジメントレビューについても定められています。
内部監査については、「ISMSが要求事項に適合し有効に実施されていること」をあらかじめ定めた間隔で監査することを求めています。
マネジメントレビューについては、トップマネジメントが、「ISMSが適切で妥当かつ有効であること」を定めた間隔でレビューしなければならないことが記載されています。
内部監査、マネジメントレビューともに、少なくとも年に1度定期的に実施が必要です。
そして、文書化した情報を保持することも求められています。
10章 改善
不適合が発生した場合、修正するための処置をとることや、不適合によって起こった結果に対処することが求められています。
また、不適合が再発又は他のところで発生しないようにするために、不適合の原因を除去するための処置の必要性の評価や、是正処置の有効性のレビュー、必要な場合はISMSの変更を行うなどの事項を行わなければなりません。
是正処置について、不適合の性質及びとった処置や、その結果の文書化した情報を保持することが求められています。
さらに、組織はISMSの適切性、妥当性及び有効性を継続的に改善することも記載されています。
まとめ
JISQ27001(ISO27001) では、10項目の要求事項が定められており、審査ではこの要求事項に適合しているかを審査員が確認していきます。
また、2022年10月にISO27001:2022が発行され、2023年夏頃に日本語版であるJISQ27001が出る予定です。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。