1．JISQ27001及びISMSとは

ISMSとは、情報セキュリティマネジメントシステム（Information Security Management System）を略して呼びやすくしたもので、組織の情報を守るためのシステム・仕組みを指します。
簡単に言うと、「情報を守る仕組み」のことです。

一方、JIS Q 27001とは、組織がISMSを確立し、実施し、維持し、継続的に改善するための要求事項をまとめた日本工業規格（JIS）のひとつです。

⑴ISMSに準拠する情報セキュリティとは

ISMSの情報セキュリティとは、組織が保護すべき情報資産について機密性（C）・完全性（I）・可用性（A）をバランスよく維持し改善することです。

・機密性（Confidentiality）：アクセスを認可された者だけが情報に確実にアクセスできること
・完全性（Integrity）：情報資産が完全な状態で保存され、内容が正確であること
・可用性（Availability）：情報資産が必要になったとき、利用できる状態にあること

ISMSの情報セキュリティについて、詳しくはこちらの記事をご覧ください。
機密性・完全性・可用性を徹底解説！実例から考え方を学ぶ【入門】

⑵ISMSのポイントはPDCAサイクル

PDCAサイクルとは計画、実行、チェック、改善を順に行っていくことで、マネジメントシステムを継続的に改善していくことができます。

マネジメントシステムは、組織の事業活動をより良くするためのものであり、PDCAサイクルはその活動基盤となるため、大切です。同じ失敗を繰り返さないため、もしくは今のやり方を改善していくために、PDCAサイクルを回していきましょう。
ISO27001の規格要求事項もPDCAサイクルの考え方を取り入れています。

PLAN　：ISMSの確立
DO　　：ISMSの導入及び運用
CHECK：ISMSの監視及びレビュー
ACTION：ISMSの維持及び改善

ISMSのPDCAサイクルについて、詳しくはこちらの記事をご覧ください。
ISO27001のPDCAサイクル

２．ISO/IEC27001とJISQ27001の関係

ISO/IEC27001というスラッシュ表記は、ISOとIEC合同で制定した規格に使用されるものです。
ISO：International Organization for Standardization：国際標準化機構
IEC：International Electrotechnical Commission：国際電気標準会議

ISOを日本企業向けに日本語で分かりやすくしたものがJISQ27001です。ISO/IEC27001とは書かれている言語が違うだけで、中身はほとんど同じです。

⑴JISQ27001の最新版は？

2006年にJISQ27001:2006（第1版）発行された後、ISO/IEC27001:2005の改訂に伴いJISも改訂が行われ、
現在最新版の2014年3月にJISQ27001:2014（第2版）が発行されました。

⑵発行時期のずれ

英語で記載された原書発行年は2013年ですが日本語訳化されたものはこの発行後翻訳活動が行われますので、記載がJISQ27001:2014となっている場合もあります。
ISMS（ISO27001）という規格の最新版としての認識は2013年版と言えます。

⑶予想される規格改訂時期

2022年2月にISO27001の関連規格であるISO27002の改訂が行われました。
さらに、2022年10月にISO27001：2022が発行されました。

日本語版であるJISQ27001は2023年7月～8月頃発行されると考えられます。

JISQ27001の現在の最新版である2013年版の規格改訂についてはこちらの記事をご覧ください
【最新】2022年ISO27001規格改訂に伴う変更点を徹底解説

３．JISQ27001とプライバシーマークの違い

JISQ27001とプライバシーマーク（Pマーク）はどちらも、情報の保護をするためのマネジメントシステムですが、保護する対象が異なります。

プライバシーマーク（Pマーク）では個人情報だけが対象ですが、ISO27001（ISMS）においては情報資産すべてが対象になります。
比較するとISO27001のほうが保護の対象範囲が広く、マネジメントシステムの構築に時間がかかることが多いです。

また、プライバシーマーク（Pマーク）は日本だけの規格です。日本国内でしか通用しません。
一方、ISO27001は国際標準規格ですので、グローバルな認証と言えます。
国際的なやりとりが発生する企業はISO27001（ISMS）を取得されるケースが多いです。

詳しくはこちらの記事をご覧ください。
プライバシーマーク(Pマーク)とISMSの違いを徹底比較！結局どっちが良いの？

４．要求事項解説

ISMSは1章から10章で構成されています。
1章から順に説明していきます。

1章 適用範囲

JISQ27001が規定しているものが、以下の2つです。

➀組織の状況の下で、ISMSを確立し、実施し、維持し、継続的に改善するための要求事項 について規定している
②組織のニーズに応じて調整した情報セキュリティのリスクアセスメント 及びリスク対応を行うための要求事項についても規定している

この規格が規定する要求事項は、汎用的であり、全ての組織に適用できることを意図しています。

組織がJISQ27001に適合する場合、JISQ27001の4章から10章のどれも除外してはなりません。
JISQ27001はISMSのための要求事項がまとめてあるものです。適用するのであれば4章～10章すべて守る必要があります。

2章 引用規格

JISQ27001はJISQ27000（用語集）を引用しており、JISQ27001が引用するJISQ27000（用語集）は最新版であることが記載されています。

3章 用語及び定義

JISQ27001に出てくる用語や定義はJISQ27000に定めていますということが記載されています。

4章 組織の状況

組織の目的と、ISMSの意図した成果を達成する組織の能力に影響を与える、外部及び内部の課題を決定しなければならないことが書かれています。
また、以下の事項を決定することが求められています。

➀ISMSに関連する利害関係者
②その利害関係者の情報セキュリティに関連する要求事項
③ISMS の適用範囲を定めるための境界及び適用可能性

さらに、組織は、規格の要求事項に従って、ISMSを確立し、実施し、維持し、かつ、継続的に改善しなければならないということが記載されています。
ここで定めたISO27001（ISMS）の適用範囲は、文書化し、いつでも利用可能な状態にしておかなければならないので注意です。

5章 リーダーシップ

トップマネジメントは、次に示す事項によって、ISMSに関するリーダーシップ及びコミットメントを実証しなければならないということが記載されています。
加えて、トップマネジメントは情報セキュリティ方針の確立も求められています。

情報セキュリティ方針は、以下の事項を満たす必要があります。

➀文書化した情報として利用可能な状態にする
②組織内に伝達する
③必要に応じて、利害関係者が入手可能な状態にする

また、トップマネジメントは、情報セキュリティに関連する役割に対して、責任及び権限を割り当て、伝達することを確実にしなければならないことも記載されています。

6章 計画

ここでは、ISMSの計画を策定する時に、組織は4章に規定する課題と要求事項を考慮して、以下の事項を実現するためのリスクと機会を決定しなければならないことが記載されています。

➀ISMSが意図した成果を達成できることを確実にする
②望ましくない影響を防止あるいは低減する
③継続的改善を達成する

 

組織は、上記のリスクと機会に対処する活動や、その活動の方法の計画を立てなければいけません。
また、ここでは情報セキュリティリスクアセスメントのプロセスを定め、適用しなければならないことも記載されています。

➀リスク基準を確立し、維持すること
②リスクアセスメントに一貫性及び妥当性があること
③リスクを特定すること
④リスクを分析すること
⑤リスクを評価すること

そして、組織は、情報セキュリティアセスメントのプロセスについての文書化した情報を保持しなければなりません。
さらに、組織は関連する部門及び階層において、情報セキュリティ目的を確立しなければならず、この目的に関する文書化した情報も保持しなければなりません。

7章 支援

組織は、ISMS の確立、実施、維持及び継続的改善に必要な資源を決定し、提供しなければならないことが記載されています。
組織は情報セキュリティパフォーマンスに影響を与える業務を行う人に必要な力量を決定し、適切な教育、訓練を行い力量を備えていることを確実にしなければなりません。

また、組織で働く人々は、情報セキュリティ方針、ISMS の有効性に対する自らの貢献、ISMS要求事項に適合しないことの意味について認識をもつ必要があります。組織は、ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければなりません。

さらに、組織のISMSは、この規格が要求する文書化した情報や、ISMSの有効性のために必要であると組織が決定した文書化した情報が必要となります。
タイトルや日付等の識別及び記述、適切な形式、適切性及び妥当性に関するレビュー及び承認が必要であり、管理することが必要です。

8章 運用

6章で立てた計画を実施し、管理しなければならないことが記載されています。
また、プロセスが計画通りに実施されたという確信をもつために必要な文書化した情報を保持しなければなりません。
そして、情報セキュリティリスクアセスメントや、情報セキュリティリスク対応などの活動において、文書化した情報を保持することが求められています。

9章 パフォーマンス評価

情報セキュリティパフォーマンス及びISMSの有効性の評価を定めています。
ISMSの要求事項に関する適合状況や、組織が決定したリスク対応の状況を監視、測定し、組織からのフィードバックを求めるための分析及び評価をします。
必要な監視、測定の対象、方法、実施時期を明確にし、文書化した情報を保持することが求められています。

この9章では、内部監査とマネジメントレビューについても定められています。
内部監査については、「ISMSが要求事項に適合し有効に実施されていること」をあらかじめ定めた間隔で監査することを求めています。マネジメントレビューについては、トップマネジメントが、「ISMSが適切で妥当かつ有効であること」を定めた間隔でレビューしなければならないことが記載されています。

内部監査、マネジメントレビューともに、少なくとも年に1度定期的に実施が必要です。
そして、文書化した情報を保持することも求められています。

10章 改善

不適合が発生した場合、修正するための処置をとることや、不適合によって起こった結果に対処することが求められています。
また、不適合が再発又は他のところで発生しないようにするために、不適合の原因を除去するための処置の必要性の評価や、是正処置の有効性のレビュー、必要な場合はISMSの変更を行うなどの事項を行わなければなりません。

是正処置について、不適合の性質及びとった処置や、その結果の文書化した情報を保持することが求められています。
さらに、組織はISMSの適切性、妥当性及び有効性を継続的に改善することも記載されています。

まとめ

JISQ27001（ISO27001） では、10項目の要求事項が定められており、審査ではこの要求事項に適合しているかを審査員が確認していきます。
また、2022年10月にISO27001：2022が発行され、2023年夏頃に日本語版であるJISQ27001が出る予定です。