JIS Q 27006:2018 情報技術―セキュリティ技術―情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項

この規格ページの目次

5.3 債務及び財務
6 組織運営機構に関する要求事項
7 資源に関する要求事項
7.1 要員の力量
7.2 認証活動に関与する要員
7.3 個々の外部審査員及び外部技術専門家の起用
7.4 要員の記録
7.5 外部委託
8 情報に関する要求事項
8.1 情報の公開
JIS Q 27006:2018の引用国際規格 ISO 一覧
JIS Q 27006:2018の国際規格 ICS 分類一覧
JIS Q 27006:2018の関連規格と引用規格一覧

                                                                                              3
                                                              Q 27006 : 2018 (ISO/IEC 27006 : 2015)
5.2.1  IS 5.2利害抵触
  認証機関は,コンサルティングとみなされる場合,又は,利害抵触の可能性があるとみなされる場合を
除いて,次の業務を遂行してもよい。
a) 研修コースの手配及び講師としての参加。ただし,このコースが情報セキュリティマネジメント,関
    連するマネジメントシステム又は審査に関連する場合には,認証機関は,公に入手可能な一般的な情
    報及び助言の提供にとどめなければならない。つまり,b) の要求事項に違反するような,企業固有の
    助言を提供してはならない。
b) 認証審査規格の要求事項についての認証機関の解釈を記載した情報の,要請に応じた提供又は公開
    (9.1.3.6参照)
c) 認証審査を受ける準備が整っているかの決定のためだけを目的とする審査前の活動。ただし,そのよ
    うな活動が,5.2.1の違反になるような勧告又は助言となってはならない。また,認証機関は,審査前
    活動が5.2.1の要求事項に違反しないこと,及び結果的に認証審査期間の短縮根拠として利用されない
    ことを確認できなければならない。
d) 認定範囲以外の規格又は規制に従った,第二者審査及び第三者審査の実行
e) 認証審査及びサーベイランスにおける価値の付加。例えば,特定の解決策の提示を含まない,審査中
    に明らかになった改善の機会の明示。
  認証機関は,認証の対象となる依頼者のISMSの内部の情報セキュリティレビューを提供してはならな
い。さらに,認証機関は,ISMS内部監査を提供する機関(個人を含む。)から独立していなければならな
い。

5.3 債務及び財務

  債務及び財務は,JIS Q 17021-1:2015の5.3による。

6 組織運営機構に関する要求事項

  組織運営機構に関する要求事項は,JIS Q 17021-1:2015の箇条6による。

7 資源に関する要求事項

7.1 要員の力量

  要員の力量は,JIS Q 17021-1:2015の7.1によるほか,次の要求事項及び手引による。
7.1.1  IS 7.1.1一般考慮事項
7.1.1.1  一般的な力量要求事項
  認証機関は,審査の対象である依頼者のISMSに関連する技術,法的及び規制の動向に関する知識をも
っていることを確実にしなければならない。
  認証機関は,JIS Q 17021-1:2015の表A.1に規定する認証の機能別に力量要求事項を定めなければなら
ない。認証機関は,JIS Q 17021-1:2015に規定する全ての要求事項,並びにこの規格の7.1.2及び7.2.1に
規定する全ての要求事項(これは,自身が定めたISMSにおける専門分野に関連する。)を考慮しなければ
ならない。
    注記 特定の認証の機能に関与する要員に対する力量要求事項の概要を,附属書Aに示す。
7.1.2  IS.7.1.2力量の判断基準の決定
7.1.2.1  ISMS審査に関する力量要求事項
7.1.2.1.1 一般要求事項

――――― [JIS Q 27006 pdf 6] ―――――

4
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
  認証機関は,少なくとも次の事項を確実にするために,審査チームメンバーの経歴の検証,及び特定の
教育・訓練又は概要説明(ブリーフィング)に関する基準をもたなければならない。
a) 情報セキュリティについての知識
b) 審査対象となる活動についての専門的知識
c) マネジメントシステムについての知識
d) 監査の原則についての知識
      注記 監査の原則についての詳細は,JIS Q 19011に示されている。
e)   SMSの監視,測定,分析及び評価についての知識
  上記a)   e) の要求事項は,審査チームの審査員間で分担できるb) を除き,審査チームの全ての審査員
に適用する。
  審査チームは,依頼者のISMSにおける情報セキュリティインシデントを示すものから適切なISMSの
要素まで遡ることのできる力量をもっていなければならない。
  審査チームは,上記項目の適切な業務経験をもち,かつ,それらを具体的に適用したことがなければな
らない(これは,一人の審査員が情報セキュリティの全領域の経験を全てもつ必要があることを意味する
ものではなく,審査チーム全体として,審査対象のISMS適用範囲を網羅するのに十分な認識及び経験を
もっていなければならない。)。
7.1.2.1.2 情報セキュリティマネジメントの用語,原則,実務及び技術
  審査チームの全てのメンバーは,全体として,次の知識をもたなければならない。
a)   SMSに固有な文書の構造,階層及び相互関係
b) 情報セキュリティマネジメントに関連するツール,方法及び技法,並びにこれらの適用
c) 情報セキュリティリスクアセスメント及びリスクマネジメント
d)   SMSに適用可能なプロセス
e) 情報セキュリティに関連するか,又は情報セキュリティが課題となっている最新技術
  各審査員は,a),c) 及びd) を満たさなければならない。
7.1.2.1.3 情報セキュリティマネジメントシステムの規格及び規準文書
  ISMS審査に関与する審査員は,次の知識をもたなければならない。
a)   IS Q 27001:2014に含まれる全ての要求事項
  審査チームの全てのメンバーは,全体として,次の知識をもたなければならない。
b) 次のように分類される,JIS Q 27002に規定される全ての管理策(及び必要と決定された場合には,分
    野固有の規格の管理策),及びその実施
      注記 ここでいう“分野”とは,英語でSector(セクター)と表現され,業種,サービスなどを含
            む広い意味で用いる。
  1) 情報セキュリティのための方針群
  2) 情報セキュリティのための組織
  3) 人的資源のセキュリティ
  4) 資産の管理
  5) アクセス制御(認可を含む。)

――――― [JIS Q 27006 pdf 7] ―――――

                                                                                              5
                                                              Q 27006 : 2018 (ISO/IEC 27006 : 2015)
  6) 暗号
  7) 物理的及び環境的セキュリティ
  8) 運用のセキュリティ(ITサービスを含む。)
  9) 通信のセキュリティ(ネットワークセキュリティ管理及び情報の転送を含む。)
  10) システムの取得,開発及び保守
  11) 供給者関係(外部委託サービスを含む。)
  12) 情報セキュリティインシデント管理
  13) 事業継続マネジメントにおける情報セキュリティの側面(冗長性を含む。)
  14) 順守(情報セキュリティのレビューを含む。)
7.1.2.1.4 ビジネスマネジメントの実務
  ISMS審査に関与する審査員は,次の知識をもたなければならない。
a) 産業界における優れた情報セキュリティの慣行,及び情報セキュリティ手順
b) 情報セキュリティのための,方針及び事業上の要求事項
c) 一般的なビジネスマネジメントの概念及び実務,並びに,方針,目的及び結果の間の相互関係
d) マネジメントプロセス及び関連する用語
      注記 マネジメントプロセスには,人的資源のマネジメント,内部及び外部のコミュニケーション,
            並びにその他の関連する支援プロセスも含む。
7.1.2.1.5 依頼者の事業分野
  ISMS審査に関与する審査員は,次の知識をもたなければならない。
a) 特定の情報セキュリティ領域,地理及び法的管轄区における法的及び規制の要求事項
      注記 法的及び規制の要求事項の知識とは,法律に関する高度に専門的な経歴を意味するものでは
            ない。
b) 事業分野に関連する情報セキュリティリスク
c) 依頼者の事業分野に関する一般的な用語,プロセス及び技術
d) 関連する事業分野の実務
  基準a) は,審査チーム内で分担できる。
7.1.2.1.6 依頼者の製品,プロセス及び組織
  ISMS審査に関与する審査員は,全体として,次の知識をもたなければならない。
a) 外部委託を含む,組織の種類,規模,ガバナンス,構造,機能及び関係が,ISMSの開発及び実施並
    びに認証活動に及ぼす影響
b) 広い視野から見た複雑な業務
c) 製品又はサービスに適用される法的及び規制の要求事項
7.1.2.2  ISMS審査チームの指揮に関する力量要求事項
  7.1.2.1の要求事項に加えて,審査チームリーダーは,次の要求事項を満たさなければならない。この要
求事項を満たしていることを,指導及び監督の下での審査において実証しなければならない。
a) 認証審査プロセス及び審査チームを管理する知識及び技能
b) 口頭及び書面の両方で,効果的な意思疎通の能力があることの実証
7.1.2.3  申請のレビューの実施に関する力量要求事項
7.1.2.3.1 情報セキュリティマネジメントシステムの規格及び規準文書
  審査チームに要求される力量を判定し,審査チームメンバーを選定し,審査工数を決定するための申請

――――― [JIS Q 27006 pdf 8] ―――――

6
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
のレビューを実施する要員は,次の知識をもたなければならない。
a) 認証プロセスで用いられる関連するISMS規格及びその他の規準文書
7.1.2.3.2 依頼者の事業分野
  審査チームに要求される力量を判定し,審査チームメンバーを選定し,審査工数を決定するための申請
のレビューを実施する要員は,次の知識をもたなければならない。
a) 依頼者の事業分野に関する一般的な用語,プロセス,技術及びリスク
7.1.2.3.3 依頼者の製品,プロセス及び組織
  審査チームに要求される力量を判定し,審査チームメンバーを選定し,審査工数を決定するための申請
のレビューを実施する要員は,次の知識をもたなければならない。
a)   SMSの開発及び実施並びに認証活動における,依頼者の製品,プロセス,組織の種類,規模,ガバ
    ナンス,構造,機能及び関係(外部委託機能を含む。)
7.1.2.4  審査報告書のレビュー及び認証の決定に関する力量要求事項
7.1.2.4.1 一般
  審査報告書のレビュー及び認証の決定を行う要員は,認証範囲の適切性及び認証範囲の変更の適切性を
検証でき,特にインタフェース及び依存関係の特定並びにその関連リスクの特定が継続して妥当かどうか
について,審査の有効性に対するその変更の影響を検証することができる知識をもたなければならない。
  さらに,審査報告書のレビュー及び認証の決定を行う要員は,次の知識をもたなければならない。
a) マネジメントシステム全般
b) 審査プロセス及び手順
c) 審査の原則,実務及び技術
7.1.2.4.2 情報セキュリティマネジメントの用語,原則,実務及び技術
  審査報告書のレビュー及び認証の決定を行う要員は,次の知識をもたなければならない。
a) 7.1.2.1.2のa),c) 及びd) に列挙する項目
b) 情報セキュリティに関連した法的及び規制の要求事項
7.1.2.4.3 情報セキュリティマネジメントシステムの規格及び規準文書
  審査報告書のレビュー及び認証の決定を行う要員は,次の知識をもたなければならない。
a) 認証プロセスで用いられる関連するISMS規格及びその他の規準文書
7.1.2.4.4 依頼者の事業分野
  審査報告書のレビュー及び認証の決定を行う要員は,次の知識をもたなければならない。
a) 関連の事業分野の実務に関する一般的な用語及びリスク
7.1.2.4.5 依頼者の製品,プロセス及び組織
  審査報告書のレビュー及び認証の決定を行う要員は,次の知識をもたなければならない。
a) 依頼者の製品,プロセス,組織の種類,規模,ガバナンス,構造,機能及びそれらの関係

7.2 認証活動に関与する要員

  認証活動に関与する要員は,JIS Q 17021-1:2015の7.2によるほか,次の要求事項及び手引による。
7.2.1  IS 7.2審査員の知識及び経験の実証
  認証機関は,審査員が知識及び経験をもっていることを次の事項によって実証しなければならない。
a)   SMS固有の認知された資格
b) 該当する場合には,審査員としての登録
c)   SMS研修コースへの参加,及び該当する資格証明書の取得

――――― [JIS Q 27006 pdf 9] ―――――

                                                                                              7
                                                              Q 27006 : 2018 (ISO/IEC 27006 : 2015)
d) 専門能力開発についての最新の記録
e) 他のISMS審査員によるISMS審査への立会い
7.2.1.1  審査員の選定
  7.1.2.1に加えて,審査員の選定基準は,各審査員が次の事項を満たすことを確実にしなければならない。
a) 大学教育と同等なレベルの専門的教育又は訓練を修了している。
b) 情報技術分野において4年以上の常勤による実務経験がある。このうちの2年以上は,情報セキュリ
    ティに関連した役割又は職務に就いている。
c) 少なくとも5日間の研修を成功裏に修了している。この研修は,研修の範囲が,ISMS審査及び審査
    のマネジメントを含む。
d) 審査員として活動する職責を担う前に,情報セキュリティの全審査過程を経験している。この経験は,
    再認証審査及びサーベイランス審査を含めて,最低4回延べ20日間(そのうち最大5日間はサーベイ
    ランス審査への参加でもよい)以上にわたるISMS認証審査への参加によって得ていることが望まし
    い。この参加には,文書及びリスクアセスメントのレビュー,ISMS導入の審査,並びに審査報告の
    作成を含まなければならない。
e) 関連した最近の経験がある。
f)  情報セキュリティ並びに審査に関する知識及び技能を,専門能力の継続的開発を通して最新の状態に
    維持している。
  技術専門家は,基準a),b) 及びe) を満たさなければならない。
7.2.1.2  審査チームを指揮する審査員の選定
  7.1.2.2及び7.2.1.1に加えて,審査チームを指揮する審査員の選定基準は,当該審査員が次の事項を満た
すことを確実にしなければならない。
a) 少なくとも3回のISMS審査の全段階において積極的に参加している。この参加には,初回の適用範
    囲の決定及び計画立案,文書及びリスクアセスメントのレビュー,並びにISMS実施の審査及び正式
    な審査報告書の作成を含まなければならない。

7.3 個々の外部審査員及び外部技術専門家の起用

  個々の外部審査員及び外部技術専門家の起用は,JIS Q 17021-1:2015の7.3によるほか,次の要求事項及
び手引による。
7.3.1  IS 7.3外部審査員及び外部技術専門家の審査チーム構成員への起用
  技術専門家は審査員の監督の下で業務を行わなければならない。技術専門家に対する最小限の要求事項
は,7.2.1.1に記載されている。

7.4 要員の記録

  要員の記録は,JIS Q 17021-1:2015の7.4による。

7.5 外部委託

  外部委託は,JIS Q 17021-1:2015の7.5による。

8 情報に関する要求事項

8.1 情報の公開

  情報の公開は,JIS Q 17021-1:2015の8.1による。

――――― [JIS Q 27006 pdf 10] ―――――

次のページ PDF 11

JIS Q 27006:2018の引用国際規格 ISO 一覧

ISO/IEC 27006:2015(IDT)

JIS Q 27006:2018の国際規格 ICS 分類一覧

35 : 情報技術.事務機械　>　35.040 : 文字セット及び符号化

JIS Q 27006:2018の関連規格と引用規格一覧

規格番号: 規格名称
JISQ27000:2019: 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語