JIS Q 27002:2014 情報技術―セキュリティ技術―情報セキュリティ管理策の実践のための規範

この規格ページの目次

7.2 雇用期間中
7.3 雇用の終了及び変更
8 資産の管理
8.1 資産に対する責任
8.2 情報分類
JIS Q 27002:2014の引用国際規格 ISO 一覧
JIS Q 27002:2014の国際規格 ICS 分類一覧
JIS Q 27002:2014の関連規格と引用規格一覧

                                                                                             13
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)

7.2 雇用期間中

目的 従業員及び契約相手が,情報セキュリティの責任を認識し,かつ,その責任を遂行することを確実
にするため。
7.2.1  経営陣の責任
管理策
  経営陣は,組織の確立された方針及び手順に従った情報セキュリティの適用を,全ての従業員及び契約
相手に要求することが望ましい。
実施の手引
  経営陣の責任には,従業員及び契約相手が,次の事項の実施を確実にすることを含むことが望ましい。
a) 秘密情報又は情報システムへのアクセスが許可される前に,情報セキュリティの役割及び責任につい
    て,要点が適切に伝えられる。
b) 組織内での役割において,情報セキュリティについて期待することを示すための指針が提供される。
c) 組織の情報セキュリティのための方針群に従うように動機付けられる。
d) 組織内における自らの役割及び責任に関連する情報セキュリティの認識について,一定の水準を達成
    する(7.2.2参照)。
e) 組織の情報セキュリティ方針及び適切な仕事のやり方を含め,雇用条件に従う。
f)  適切な技能及び資格を保持し,定期的に教育を受ける。
g) 情報セキュリティのための方針群又は手順への違反を報告するための,匿名の報告経路が提供される
    (例えば,内部告発)。
  経営陣は,情報セキュリティのための方針群,手順及び管理策に対する支持を実証し,手本となるよう
に行動することが望ましい。
関連情報
  従業員及び契約相手が情報セキュリティに関する責任を認識していないと,組織にかなりの損害をもた
らしかねない。意識の高い要員は,より信頼でき,情報セキュリティインシデントを起こさない傾向があ
る。
  不十分なマネジメントは,要員が評価されていないと感じる原因となり,その結果,組織に情報セキュ
リティ上好ましくない影響を与える場合がある。例えば,不十分なマネジメントは,情報セキュリティの
軽視又は組織の資産の不正使用を誘発する場合がある。
7.2.2  情報セキュリティの意識向上,教育及び訓練
管理策
  組織の全ての従業員,及び関係する場合には契約相手は,職務に関連する組織の方針及び手順について
の,適切な,意識向上のための教育及び訓練を受け,また,定めに従ってその更新を受けることが望まし
い。
実施の手引
  情報セキュリティの意識向上プログラムは,従業員,及び関係する場合は契約相手に対し,情報セキュ
リティに関する各自の責任及びその責任を果たす方法について,認識させることを狙いとすることが望ま
しい。
  情報セキュリティの意識向上プログラムは,保護すべき組織の情報及び情報を保護するために実施され

――――― [JIS Q 27002 pdf 16] ―――――

14
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
ている管理策を考慮に入れて,組織の情報セキュリティのための方針群及び関連する手順に沿って確立す
ることが望ましい。意識向上プログラムには,キャンペーン(例えば,情報セキュリティの日),及びパン
フレット又は会報の発行のような,複数の意識向上活動を含めることが望ましい。
  意識向上プログラムは,組織における従業員の役割,及び関係する場合には契約相手の認識に対する組
織の期待を考慮に入れて,計画することが望ましい。意識向上プログラムの活動は,長期にわたり,でき
れば定期的に計画されることが望ましい。これによって,活動が繰り返され,新しい従業員及び契約相手
も対象となる。また,意識向上プログラムは,定期的に更新して組織の方針及び手順に沿うようにするこ
とが望ましく,情報セキュリティインシデントから学んだ教訓が生かされるようにすることが望ましい。
  意識向上のための訓練は,組織の情報セキュリティの意識向上プログラムで必要とされた場合に実施す
ることが望ましい。意識向上のための訓練には,教室での訓練,通信教育,インターネットを利用した訓
練,自己学習その他を含む,多様な手段を用いることができる。
  情報セキュリティの教育及び訓練には,例えば,次のような一般的な側面も含めることが望ましい。
a) 組織全体にわたる情報セキュリティに対する経営陣のコミットメントの提示
b) 方針,規格,法令,規制,契約及び合意で定められた,適用される情報セキュリティの規則及び義務
    を熟知し,これを順守する必要性
c) 自身が行動したこと及び行動しなかったことに対する個人の責任,並びに組織及び外部関係者に属す
    る情報のセキュリティを保つか,これを保護することに対する一般的な責任
d) 情報セキュリティに関する基本的な手順(例えば,情報セキュリティインシデントの報告)及び基本
    的な管理策(例えば,パスワードのセキュリティ,マルウェアの制御,クリアデスク)
e) 情報セキュリティに関連する事項についての追加的な情報及び助言(情報セキュリティの教育及び訓
    練に関する追加の資料も含む。)を得るための連絡先及び情報源
  情報セキュリティの教育及び訓練は,定期的に実施することが望ましい。最初の教育及び訓練は,新入
社員だけでなく,情報セキュリティに関する要求事項が大幅に異なる新たな職位又は役割に異動した者に
も適用し,その役割が始まる前に実施することが望ましい。
  組織は,教育及び訓練を効果的に実施するためのプログラムを開発することが望ましい。このプログラ
ムは,保護する必要のある組織の情報及び情報を保護するために実施されている管理策を考慮に入れ,組
織の情報セキュリティのための方針群及び関連手順に沿っていることが望ましい。このプログラムでは,
講義又は自己学習のように,多様な教育及び訓練の形式を考慮することが望ましい。
関連情報
  意識向上プログラムを組み立てる場合,“何を”及び“どのように”だけでなく,“なぜ”も重要となる。
従業員が,情報セキュリティの狙い,並びに自らの行動が組織に及ぼす肯定的及び否定的な潜在的影響に
ついて,理解することが重要である。
  意識向上,教育及び訓練は,一般的なIT又はセキュリティに関する訓練のような他の訓練活動の一部と
するか,又はこれらの訓練とともに実施することができる。意識向上,教育及び訓練の活動は,その個人
の役割,責任及び技能に適したものであり,関連したものであることが望ましい。
  知識が伝わったことを確認するため,意識向上,教育及び訓練の課程終了時に,従業員の理解の評価を
行ってもよい。
7.2.3  懲戒手続
管理策

――――― [JIS Q 27002 pdf 17] ―――――

                                                                                             15
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
  情報セキュリティ違反を犯した従業員に対して処置をとるための,正式かつ周知された懲戒手続を備え
ることが望ましい。
実施の手引
  懲戒手続は,情報セキュリティ違反が生じたことの事前の確認を待って開始することが望ましい(16.1.7
参照)。
  正式な懲戒手続は,情報セキュリティ違反を犯したという疑いがかけられた従業員に対する正確かつ公
平な取扱いを確実にすることが望ましい。正式な懲戒手続は,例えば,次のような要素を考慮した段階別
の対応を定めることが望ましい。
− 違反の内容及び重大さ並びにその業務上の影響
− 最初の違反か又は繰り返されたものか
− 違反者は,適切に教育・訓練されていたかどうか
− 関連する法令
− 取引契約
− その他の必要な要素
  懲戒手続を,従業員が情報セキュリティ違反を起こすことを防ぐための抑止力として使うことも望まし
い。ここでいう情報セキュリティ違反とは,従業員による組織の情報セキュリティのための方針群及び手
順への違反並びに他の全ての情報セキュリティ違反を指す。意図的な違反には,緊急の処置が求められる
場合がある。
関連情報
  情報セキュリティに関する優れた行動に対して肯定的な手続きを定めておけば,懲戒手続が奨励策とな
る場合もある。

7.3 雇用の終了及び変更

目的 雇用の終了又は変更のプロセスの一部として,組織の利益を保護するため。
7.3.1  雇用の終了又は変更に関する責任
管理策
  雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め,その従業員又は
契約相手に伝達し,かつ,遂行させることが望ましい。
実施の手引
  雇用の終了に関する責任の伝達には,実施中の情報セキュリティ要求事項及び法的責任,並びに適切で
あれば,従業員又は契約相手の,雇用の終了以降の一定期間継続する,秘密保持契約(13.2.4参照)及び
雇用条件(7.1.2参照)に規定された責任を含むことが望ましい。
  雇用の終了後も引き続き有効な責任及び義務は,従業員又は契約相手の雇用条件(7.1.2参照)に含める
ことが望ましい。
  責任又は雇用の変更は,現在の責任又は雇用の終了と新しい責任又は雇用の開始との組み合わせとして
管理することが望ましい。
関連情報
  人事管理部門は,一般に雇用の終了手続全体に責任をもち,退職する者を監督していた部門の責任者と
ともに,関連する手順の情報セキュリティに関する事項の管理を担当する。外部関係者を通して雇用した

――――― [JIS Q 27002 pdf 18] ―――――

16
Q 27002 : 2014 (ISO/IEC 27002 : 2013)
契約相手の場合,この終了手続は,組織と外部関係者との間の契約に従って外部関係者が引き受ける。
  人事上及び業務上の取決めの変更を従業員,顧客又は契約相手に知らせることが必要な場合がある。

8 資産の管理

8.1 資産に対する責任

目的 組織の資産を特定し,適切な保護の責任を定めるため。
8.1.1  資産目録
管理策
  情報及び情報処理施設に関連する資産を特定することが望ましい。また,これらの資産の目録を,作成
し,維持することが望ましい。
実施の手引
  組織は,情報のライフサイクルに関連した資産を特定し,その重要度を文書化することが望ましい。情
報のライフサイクルには,作成,処理,保管,送信,削除及び破棄を含めることが望ましい。文書は,専
用の目録又は既存の目録として維持することが望ましい。
  資産目録は,正確で,最新に保たれ,一貫性があり,他の目録と整合していることが望ましい。
  特定された各資産について,管理責任者を割り当て(8.1.2参照),分類する(8.2参照)ことが望ましい。
関連情報
  資産目録は,保護を効果的に行うことを確実にするために役立つとともに,他の目的(例えば,安全衛
生,保険又は財務面での資産管理)のために必要となることもある。
  資産を特定する場合に組織が考慮する必要性が生じる可能性のある資産の例は,ISO/IEC 27005[11]に示
されている。資産目録を作成するプロセスは,リスクマネジメントの重要な要素である(ISO/IEC 27000
及びISO/IEC 27005[11]も参照)。
8.1.2  資産の管理責任
管理策
  目録の中で維持される資産は,管理されることが望ましい。
実施の手引
  資産のライフサイクルの管理責任を与えられた個人及び組織は,資産の管理責任者に指名されるものと
して適格である。
  資産の管理責任を時機を失せずに割り当てることを確実にするためのプロセスが,通常実施される。資
産が生成された時点,又は資産が組織に移転された時点で,管理責任を割り当てることが望ましい。資産
の管理責任者は,資産のライフサイクル全体にわたって,その資産を適切に管理することに責任を負うこ
とが望ましい。
  資産の管理責任者は,次の事項を行うことが望ましい。
a) 資産の目録が作成されることを確実にする。
b) 資産が適切に分類及び保護されることを確実にする。
c) 適用されるアクセス制御方針を考慮に入れて,重要な資産に対するアクセスの制限及び分類を定め,
    定期的にレビューする。
d) 資産を消去又は破壊する場合に,適切に取り扱うことを確実にする。
関連情報

――――― [JIS Q 27002 pdf 19] ―――――

                                                                                             17
                                                              Q 27002 : 2014 (ISO/IEC 27002 : 2013)
  管理責任者は,資産のライフサイクル全体を管理する責任を与えられた個人又はエンティティであり得
る。その管理責任者は,必ずしもその資産の所有権をもっている必要はない。
  ルーチン業務の委任(例えば,日々の資産保全を保全要員に委ねること)を行ってもよいが,その責任
は管理責任者の下にとどまる。
  複雑な情報システムでは,あるサービスを提供するために関係する,複数の資産グループを特定するこ
とが,有益な場合がある。この場合,サービスの管理責任者が,その資産の運用も含めたサービスの提供
に対して責任を負う。
8.1.3  資産利用の許容範囲
管理策
  情報の利用の許容範囲,並びに情報及び情報処理施設と関連する資産の利用の許容範囲に関する規則は,
明確にし,文書化し,実施することが望ましい。
実施の手引
  組織の資産を利用する又は組織の資産にアクセスする従業員及び外部の利用者に対し,情報及び情報処
理施設と関連する組織の資産並びに経営資源の情報セキュリティ要求事項を認識させることが望ましい。
従業員及び外部の利用者は,どのような情報処理資源の利用に対しても,また,利用者自身の責任の下で
行ったいかなる利用に対しても,責任をもつことが望ましい。
8.1.4  資産の返却
管理策
  全ての従業員及び外部の利用者は,雇用,契約又は合意の終了時に,自らが所持する組織の資産の全て
を返却することが望ましい。
実施の手引
  雇用の終了時の手続は,前もって支給された物理的及び電子的な資産(組織が管理責任をもつ又は組織
に委託されたもの)の全ての返却を含むことを正式なものとすることが望ましい。
  従業員及び外部の利用者が組織の設備を購入する場合,又は個人所有の設備を用いる場合には,手順に
従って,全ての関連する情報を組織に返却し,設備からセキュリティを保って消去することを確実にする
ことが望ましい(11.2.7参照)。
  従業員及び外部の利用者が継続中の作業に重要な知識を保有している場合には,その情報を文書化し,
組織に引き継ぐことが望ましい。
  雇用の終了の予告期間中は,雇用が終了する従業員及び契約相手が認可を得ずに関連情報(例えば,知
的財産)を複製することのないよう,組織が管理することが望ましい。

8.2 情報分類

目的 組織に対する情報の重要性に応じて,情報の適切なレベルでの保護を確実にするため。
8.2.1  情報の分類
管理策
  情報は,法的要求事項,価値,重要性,及び認可されていない開示又は変更に対して取扱いに慎重を要
する度合いの観点から,分類することが望ましい。
実施の手引
  情報の分類及び関連する保護管理策では,情報を共有又は制限する業務上の要求,及び法的要求事項を
考慮することが望ましい。情報以外の資産も,その資産に保管される情報,処理される情報,又は他の形

――――― [JIS Q 27002 pdf 20] ―――――

次のページ PDF 21

JIS Q 27002:2014の引用国際規格 ISO 一覧

ISO/IEC 27002:2013(IDT)

JIS Q 27002:2014の国際規格 ICS 分類一覧

35 : 情報技術.事務機械　>　35.040 : 文字セット及び符号化

JIS Q 27002:2014の関連規格と引用規格一覧

規格番号: 規格名称
JISQ27000:2019: 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語