JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範

この規格ページの目次

0.5 ライフサイクルに関する考慮事項
0.6 関連規格
1 適用範囲
2 引用規格
3 用語及び定義
4 規格の構成
4.1 箇条の構成
4.2 管理策のカテゴリ
5 情報セキュリティのための方針群
5.1 情報セキュリティのための経営陣の方向性
6 情報セキュリティのための組織
6.1 内部組織
JIS Q 27002:2014の引用国際規格 ISO 一覧
JIS Q 27002:2014の国際規格 ICS 分類一覧
JIS Q 27002:2014の関連規格と引用規格一覧

                                                                                              3
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
手引は,その全てが適用できるとは限らない。また,この規格には規定されていない管理策及び指針が必
要なこともある。追加の指針又は管理策を含む文書を作成する場合,監査人及び取引相手による順守状況
の確認を容易にするために,可能な場合,この規格の箇条との対比表を含めると便利なこともある。

0.5 ライフサイクルに関する考慮事項

  情報には,作成及び発生から,保存,処理,利用及び送信を経て,最終的な破棄又は陳腐化に至る,自
然なライフサイクルがある。資産の価値及び資産に対するリスクは,資産の存続期間の間に変化すること
があるが(例えば,企業の金融勘定の認可されていない開示又は盗難は,これらの情報が正式に公開され
た後には,その影響ははるかに小さくなる。),情報セキュリティには,ライフサイクルの全ての段階を通
じて一定の重要性がある。
  情報システムには,着想から,仕様の決定,設計,開発,試験,導入,利用,維持,最終的な運用終了,
処分までのライフサイクルがある。これら全ての段階で情報セキュリティを考慮に入れることが望ましい。
新たなシステムの開発及び既存のシステムの変更は,組織にとって,実際のインシデント,現在の情報セ
キュリティリスク及び予想される情報セキュリティリスクを考慮に入れて,セキュリティ管理策を更新及
び改善する機会となる。

0.6 関連規格

  この規格は,多様な組織に一般的に適用される幅広い情報セキュリティ管理策に関する手引を示してい
るが,情報セキュリティの管理に関するプロセス全体におけるその他の側面については,他のISMSファ
ミリ規格に補足の助言又は要求事項が示されている。
  ISMS及びファミリ規格の概要については,ISO/IEC 27000に示されている。ISO/IEC 270001)は,ISMS
ファミリ規格の用語を定義し,各規格の適用範囲及び目的を記載している。
    注1)   SMSファミリ規格の用語及び定義については,JIS Q 27000が制定されている。

1 適用範囲

  この規格は,組織の情報セキュリティリスクの環境を考慮に入れた管理策の選定,実施及び管理を含む,
組織の情報セキュリティ標準及び情報セキュリティマネジメントの実践のための規範について規定する。
  この規格は,次の事項を意図する組織への適用を目的としている。
a)   IS Q 27001[10]に基づくISMSを実施するプロセスで,管理策を選定する。
b) 一般に受け入れられている情報セキュリティ管理策を実施する。
c) 固有の情報セキュリティマネジメントの指針を作成する。
    注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
          ISO/IEC 27002:2013,Information technology−Security techniques−Code of practice for information
              security controls(IDT)
            なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
          とを示す。

2 引用規格

  次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。この引用
規格は,その最新版(追補を含む。)を適用する。
    JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
      注記 対応国際規格 : ISO/IEC 27000,Information technology−Security techniques−Information

――――― [JIS Q 27002 pdf 6] ―――――

4
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
             security management systems−Overview and vocabulary(MOD)

3 用語及び定義

  この規格で用いる主な用語及び定義は,JIS Q 27000による。

4 規格の構成

  この規格は,情報セキュリティ管理策について,14の箇条で構成し,そこに,合計で35のカテゴリ及
び114の管理策を規定している。

4.1 箇条の構成

  管理策を定めた各箇条には,一つ以上のカテゴリがある。
  この規格において,箇条の順序は,その重要度を示すものではない。状況に応じて,いずれかの箇条又
は全ての箇条の管理策が重要となる可能性があり,このため,この規格を適用している組織は,適用でき
る管理策及びそれらの重要度を特定し,個々の業務プロセスへのそれぞれの適用を明確にすることが望ま
しい。
  なお,この規格の全ての項目は,優先順に並んではいない。

4.2 管理策のカテゴリ

  各管理策のカテゴリには,次の事項が含まれる。
a) 達成すべきことを記載した管理目的
b) 管理目的を達成するために適用できる一つ以上の管理策
  管理策の記載は,次のように構成する。
管理策
  管理目的を満たすための特定の管理策を規定する。
実施の手引
  管理策を実施し,管理目的を満たすことを支持するためのより詳細な情報を提供する。手引は,必ずし
も全ての状況において適していない又は十分でない可能性があり,組織の特定の管理策の要求事項を満た
せない可能性がある。
関連情報
  考慮が必要と思われる関連情報(法的な考慮事項,他の規格への参照など)を提供する。考慮が必要な
更なる情報がない場合は,この部分は削除される。

5 情報セキュリティのための方針群

5.1 情報セキュリティのための経営陣の方向性

目的 情報セキュリティのための経営陣の方向性及び支持を,事業上の要求事項並びに関連する法令及び
規制に従って提示するため。
5.1.1  情報セキュリティのための方針群
管理策
  情報セキュリティのための方針群は,これを定義し,管理層が承認し,発行し,従業員及び関連する外
部関係者に通知することが望ましい。

――――― [JIS Q 27002 pdf 7] ―――――

                                                                                              5
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
    注記 管理層には,経営陣及び管理者が含まれる。ただし,実務管理者(administrator)は除かれる。
実施の手引
  組織は,方針群の最も高いレベルに,一つの情報セキュリティ方針を定めることが望ましい。この情報
セキュリティ方針は,経営陣によって承認されるものであり,組織の情報セキュリティ目的の管理に対す
る取組みを示すものである。
  情報セキュリティ方針は,次の事項によって生じる要求事項を取り扱うことが望ましい。
a) 事業戦略
b) 規制,法令及び契約
c) 現在の及び予想される情報セキュリティの脅威環境
  情報セキュリティ方針には,次の事項に関する記載を含めることが望ましい。
a) 情報セキュリティに関する全ての活動の指針となる,情報セキュリティの定義,目的及び原則
b) 情報セキュリティマネジメントに関する一般的な責任及び特定の責任の,定められた役割への割当て
c) 逸脱及び例外を取り扱うプロセス
  方針群のより低いレベルでは,情報セキュリティ方針は,トピック固有の個別方針によって支持される
ことが望ましい。このトピック固有の個別方針は,情報セキュリティ管理策の実施を更に求めるもので,
一般に組織内の対象となる特定のグループの要求に対処するように,又は特定のトピックを対象とするよ
うに構成されている。
  このような個別方針のトピックの例を,次に示す。
a) アクセス制御(箇条9参照)
b) 情報分類(及び取扱い)(8.2参照)
c) 物理的及び環境的セキュリティ(箇条11参照)
d) 次のような,エンドユーザ関連のトピック
  1) 資産利用の許容範囲(8.1.3参照)
  2) クリアデスク・クリアスクリーン(11.2.9参照)
  3) 情報転送(13.2.1参照)
  4) モバイル機器及びテレワーキング(6.2参照)
  5) ソフトウェアのインストール及び使用の制限(12.6.2参照)
e) バックアップ(12.3参照)
f)  情報の転送(13.2参照)
g) マルウェアからの保護(12.2参照)
h) 技術的ぜい弱性の管理(12.6.1参照)
i)  暗号による管理策(箇条10参照)
j)  通信のセキュリティ(箇条13参照)
k) プライバシー及び個人を特定できる情報(以下,PIIという。)の保護(18.1.4参照)
l)  供給者関係(箇条15参照)
  これらの個別方針は,従業員及び関係する外部関係者にとって適切で,アクセス可能かつ理解可能な形
式で伝達することが望ましい(例えば,7.2.2に示す,情報セキュリティの意識向上,教育及び訓練のプロ

――――― [JIS Q 27002 pdf 8] ―――――

6
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
グラムに従う。)。
関連情報
  情報セキュリティに関する内部方針の必要性は,組織によって異なる。内部方針は,期待される管理策
のレベルを定め承認する者とその管理策を実施する者とが分離されている大規模で複雑な組織において,
又は一つの方針が組織内の異なる人々若しくは異なる部門に適用される状況においては,特に有用である。
情報セキュリティのための方針は,単一の“情報セキュリティ方針”文書として発行することも,互いに
関連のある一連の個別文書として発行することもできる。
  情報セキュリティのための方針群のいかなる方針も,組織外部に配布する場合,秘密情報が開示されな
いように注意することが望ましい。
  組織によっては,これらの方針文書を指す場合に,“標準”,“指令”又は“規則”のような他の用語を用
いている。
5.1.2  情報セキュリティのための方針群のレビュー
管理策
  情報セキュリティのための方針群は,あらかじめ定めた間隔で,又は重大な変化が発生した場合に,そ
れが引き続き適切,妥当かつ有効であることを確実にするためにレビューすることが望ましい。
実施の手引
  各々の情報セキュリティのための方針には,その方針の作成,レビュー及び評価についての管理責任を
与えられた責任者を置くことが望ましい。レビューには,組織環境,業務環境,法的状況又は技術環境の
変化に応じた,組織の情報セキュリティのための方針群及び情報セキュリティの管理への取組みに関する,
改善の機会の評価を含めることが望ましい。
  情報セキュリティのための方針群のレビューでは,マネジメントレビューの結果を考慮することが望ま
しい。
  改訂された情報セキュリティのための方針は,管理層から承認を得ることが望ましい。

6 情報セキュリティのための組織

6.1 内部組織

目的 組織内で情報セキュリティの実施及び運用に着手し,これを統制するための管理上の枠組みを確立
するため。
6.1.1  情報セキュリティの役割及び責任
管理策
  全ての情報セキュリティの責任を定め,割り当てることが望ましい。
実施の手引
  情報セキュリティの責任の割当ては,情報セキュリティのための方針群(5.1.1参照)によって行うこと
が望ましい。個々の資産の保護に対する責任及び特定の情報セキュリティプロセスの実施に対する責任を
定めることが望ましい。情報セキュリティのリスクマネジメント活動に関する責任,特に残留リスクの受
容に関する責任を定めることが望ましい。必要な場合には,この責任を,個別のサイト及び情報処理施設
に対する,より詳細な手引で補完することが望ましい。その場所の,資産の保護及び特定の情報セキュリ
ティプロセスの実行に関する責任を定めることが望ましい。
  情報セキュリティの責任を割り当てられた個人は,情報セキュリティに関する職務を他者に委任しても

――――― [JIS Q 27002 pdf 9] ―――――

                                                                                              7
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
よい。しかし,責任は依然としてその個人にあり,委任した職務がいずれも正しく実施されていることを,
その個人が確認することが望ましい。
  個人が責任をもつ領域を規定することが望ましい。特に,次を実施することが望ましい。
a) 資産及び情報セキュリティプロセスの識別及び規定
b) 各資産又は情報セキュリティプロセスに対する責任主体の指定,及びその責任の詳細の文書化(8.1.2
    参照)
c) 承認レベルの規定及び文書化
d) 情報セキュリティ分野における責任を果たせるようにするために,任命された個人が当該分野の力量
    をもつこと,及び最新の状況を把握するための機会が与えられること
e) 供給者関係における情報セキュリティの側面の調整及び管理に関する事項の特定及び文書化
関連情報
  多くの組織では,情報セキュリティの開発及び実施に対して全般的な責任をもち,管理策の特定を支持
するために,一人の情報セキュリティ管理者を任命する。
  しかし,管理策の資源確保及び実施の責任は,多くの場合,個々の管理者にある。一般的には,各資産
にそれぞれ一人の管理責任者を任命し,その者が日々のセキュリティ保護に責任をもつことが普通である。
6.1.2  職務の分離
管理策
  相反する職務及び責任範囲は,組織の資産に対する,認可されていない若しくは意図しない変更又は不
正使用の危険性を低減するために,分離することが望ましい。
実施の手引
  認可されていない状態又は検知されない状態で,一人で資産に対してアクセス,修正又は使用ができな
いように注意することが望ましい。ある作業を始めることと,その作業を認可することとを分離すること
が望ましい。管理策の設計においては,共謀のおそれを考慮することが望ましい。
  小さな組織では,職務の分離を実現するのは難しい場合がある。しかし,この原則は,実施可能な限り
適用することが望ましい。分離が困難である場合には,他の管理策(例えば,活動の監視,監査証跡,管
理層による監督)を考慮することが望ましい。
関連情報
  職務の分離は,組織の資産の不注意又は故意による不正使用のリスクを低減する一つの手段である。
6.1.3  関係当局との連絡
管理策
  関係当局との適切な連絡体制を維持することが望ましい。
実施の手引
  組織は,いつ,誰が関係当局(例えば,法の執行機関,規制当局,監督官庁)に連絡するかの手順を備
えることが望ましい。また,例えば,法が破られたと疑われる場合に,特定した情報セキュリティインシ
デントをいかにして時機を失せずに報告するかの手順を備えることが望ましい。
関連情報
  インターネットからの攻撃下にある組織は,関係当局が攻撃元に対して対策をとることを必要とする場
合もある。
  そのような連絡体制を維持することは,情報セキュリティインシデント管理(箇条16参照),又は事業
継続及び緊急時対応計画策定プロセス(箇条17参照)を支援するための要求事項である場合がある。規制

――――― [JIS Q 27002 pdf 10] ―――――

次のページ PDF 11

JIS Q 27002:2014の引用国際規格 ISO 一覧

ISO/IEC 27002:2013(IDT)

JIS Q 27002:2014の国際規格 ICS 分類一覧

35 : 情報技術.事務機械　>　35.040 : 文字セット及び符号化

JIS Q 27002:2014の関連規格と引用規格一覧

規格番号: 規格名称
JISQ27000:2019: 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語