JIS Q 27006:2018 情報技術―セキュリティ技術―情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項 | ページ 3

8
Q 27006 : 2018 (ISO/IEC 27006 : 2015)

8.2 認証文書

  認証文書は,JIS Q 17021-1:2015の8.2によるほか,次の要求事項及び手引による。
8.2.1  IS 8.2 ISMS認証文書
  認証文書は,権限を与えられた者が署名しなければならない。認証文書には,適用宣言書の版を含めな
ければならない。
    注記 適用宣言書への変更で,認証範囲における管理策の適用(coverage)を変更しないものは,認
          証文書の更新を必要とするものではない。
  認証文書には,使用した分野固有の規格の特定も含めてよい。

8.3 認証の引用及びマークの使用

  認証の引用及びマークの使用は,JIS Q 17021-1:2015の8.3による。

8.4 機密保持

  機密保持は,JIS Q 17021-1:2015の8.4によるほか,次の要求事項及び手引による。
8.4.1  IS 8.4組織の記録へのアクセス
  認証機関は,認証審査の前に,機密情報又は取扱いに慎重を要する情報を含んでいるために,審査チー
ムによるレビューに利用できないISMSに関連する情報(例えば,ISMSの記録又は管理策の設計及び有効
性の情報)がある場合は,報告するよう依頼者に求めなければならない。認証機関は,これらの情報がな
くてもISMSが適切に審査できるかを決定しなければならない。認証機関は,これらの特定された機密情
報又は取扱いに慎重を要する情報のレビューなしではISMSの審査を適切に行えないという結論に達した
場合には,適切なアクセスの手配を依頼者が行うまで,認証審査を開始できないことを依頼者に通知しな
ければならない。

8.5 認証機関と依頼者との間の情報交換

  認証機関と依頼者との間の情報交換は,JIS Q 17021-1:2015の8.5による。

9 プロセス要求事項

9.1 認証活動に先立つ事項

9.1.1  申請
  申請は,JIS Q 17021-1:2015の9.1.1によるほか,次の要求事項及び手引による。
9.1.1.1  IS 9.1.1申請の準備
  認証機関は,依頼者に対して,JIS Q 27001:2014及び認証に必要な他の文書に適合する,文書化され,
かつ,導入されたISMSをもつよう要求しなければならない。
9.1.2  申請のレビュー
  申請のレビューは,JIS Q 17021-1:2015の9.1.2による。
9.1.3  審査プログラム
  審査プログラムは,JIS Q 17021-1:2015の9.1.3によるほか,次の要求事項及び手引による。
9.1.3.1  IS 9.1.3一般
  ISMS審査のための審査プログラムでは,決定された情報セキュリティ管理策を考慮しなければならな
い。
9.1.3.2  IS 9.1.3審査方法
  認証機関の手順は,ISMSを導入する特定の方法,又は文書及び記録の特定の様式を前提としてはなら
ない。認証の手順は,依頼者のISMSがJIS Q 27001:2014に規定する要求事項並びに依頼者の方針及び目

――――― [JIS Q 27006 pdf 11] ―――――

                                                                                              9
                                                              Q 27006 : 2018 (ISO/IEC 27006 : 2015)
的を満たしていることの確立に焦点を当てなければならない。
    注記 審査に関する更なる手引は,ISO/IEC 27007に示されている。
9.1.3.3  IS 9.1.3初回審査のための一般準備
  認証機関は,内部監査報告書及び情報セキュリティに関する独立したレビューの報告書へのアクセスの
ための必要な手配を全て行うことを依頼者に要求しなければならない。
  依頼者は,認証審査の第一段階の間に少なくとも次の情報を提供しなければならない。
a)   SMS及びその対象となる活動に関わる一般情報
b)   IS Q 27001:2014で規定する必要なISMS文書の写し及び必要な場合,関連文書の写し
9.1.3.4  IS 9.1.3レビュー期間
  認証機関は,少なくとも1回のマネジメントレビュー及び1回のISMS内部監査(認証範囲をその対象
に含む。)が運用されるまでは,ISMSを認証してはならない。
9.1.3.5  IS 9.1.3認証範囲
  審査チームは,定義された範囲に含まれる依頼者のISMSを,全ての適用される認証要求事項を基準と
して審査しなければならない。認証機関は,依頼者が自らのISMSの適用範囲の中で,JIS Q 27001:2014
の4.3に規定する要求事項を取り扱っていることを確認しなければならない。
  認証機関は,認証範囲に定義されたとおりに,依頼者の情報セキュリティのリスクアセスメント及びリ
スク対応が依頼者の活動を適切に反映しており,その活動の境界まで及んでいることを確実にしなければ
ならない。また,認証機関は,依頼者のISMSの適用範囲及び適用宣言書の中にこのことが反映されてい
ることを確認しなければならない。認証機関は,認証範囲ごとに,少なくとも一つの適用宣言書があるこ
とを検証しなければならない。
  認証機関は,依頼者が,ISMSの適用範囲に完全には含まれないサービス又は活動とのインタフェース
を,認証の対象となるISMSの中で取り扱っていること,及び自らの情報セキュリティのリスクアセスメ
ントに含めていることを確実にしなければならない。このような状況の一例には,他の組織と施設を共有
する場合がある(例えば,ITシステム,データベース,通信システム,業務機能の外部委託)。
9.1.3.6  IS 9.1.3認証審査基準
  依頼者のISMSを審査するための基準は,JIS Q 27001:2014でなければならない。また,依頼者が遂行
する機能に関連する認証のために,その他の文書を要求してもよい。
9.1.4  審査工数の決定
  審査工数の決定は,JIS Q 17021-1:2015の9.1.4によるほか,次の要求事項及び手引による。
9.1.4.1  IS 9.1.4審査工数
  認証機関は,初回審査,サーベイランス審査又は再認証審査に関連する全ての活動を行うのに十分な時
間を審査員に与えなければならない。審査工数全体の計算には,審査報告書作成のための十分な時間を含
めなければならない。
  認証機関は,審査工数を決定するために附属書Bを用いなければならない。
    注記 審査工数の計算に関する更なる手引及び例は,附属書Cに記載されている。
9.1.5  複数サイトサンプリング
  複数サイトサンプリングは,JIS Q 17021-1:2015の9.1.5によるほか,次の要求事項及び手引による。
9.1.5.1  IS 9.1.5複数サイト
9.1.5.1.1 依頼者が次のa)   c) の基準を満たす複数のサイトをもっている場合,認証機関は,複数サイト
の認証審査に対してサンプルに基づいた手法の利用を検討してもよい。

――――― [JIS Q 27006 pdf 12] ―――――

10
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
a) 全てのサイトが同一のISMSの下で運営されている。このISMSは,中央で管理・監査されており,
    かつ,中央でマネジメントレビューが行われる。
b) 全てのサイトが,依頼者のISMS内部監査プログラムに含まれている。
c) 全てのサイトが,依頼者のISMSマネジメントレビュープログラムに含まれている。
9.1.5.1.2 サンプルに基づいた手法の適用を希望する認証機関は,次の事項を確実にするための手順を備
えなければならない。
a) 最初に行う契約のレビューによって,サンプリングの適切なレベルが決定されるように,サイト間の
    違いを可能な限り特定する。
b) 認証機関が,次の要求事項を考慮して,代表し得る数のサイトをサンプリングしたものである。
  1) 本部及びそのサイトの内部監査の結果
  2) マネジメントレビューの結果
  3) 各サイトの規模の違い
  4) 各サイトの事業目的の違い
  5) 各種サイトの情報システムの複雑さ
  6) 作業慣行の違い
  7) 行っている活動の違い
  8) 管理策の設計及び運用の違い
  9) 重要な情報システム,又は取扱いに慎重を要する情報を処理する情報システムとの潜在的相互作用
  10) 法的要求事項の違うもの全て
  11) 地理的及び文化的側面
  12) サイトのリスクの状況
  13) 特定のサイトでの情報セキュリティインシデント
c) 依頼者のISMSの適用範囲内における全てのサイトから,代表サンプルを選択する。この選択は,無
    作為的要素だけでなく,b) の要因を反映する判断に基づく選択によらなければならない。
d) 認証に先立って,そのISMSに含まれる,重大なリスクの対象となる全てのサイトを審査する。
e) 審査プログラムが,上記の要求事項に照らして作成されており,また,3年以内にISMSの認証の範
    囲内の代表サンプルを,網羅するようになっている。
f)  本部又はある一つのサイトで不適合が観察された場合は,その是正処置の手順を,その登録証に含ま
    れる本部及び全てのサイトに適用する。
  審査は,一つのISMSが全てのサイトに適用されること,及びそれが中央の管理を運用レベルに行き渡
らせることを確実にするために,依頼者の本部の活動を取り扱わなければならない。この審査では,上記
の事項を全て取り扱わなければならない。
9.1.6  複数のマネジメントシステム
  複数のマネジメントシステムは,JIS Q 17021-1:2015の9.1.6によるほか,次の要求事項及び手引による。
9.1.6.1  IS 9.1.6 ISMS文書と他のマネジメントシステム文書との統合
  認証機関は,(例えば,情報セキュリティ,品質,安全衛生,環境に関する)組み合わせた文書を許可し
てもよい。ただし,他のマネジメントシステムとの適切なインタフェースを備え,そのISMSを明確に識
別できることが条件となる。
9.1.6.2  IS 9.1.6マネジメントシステム複合審査
  審査がISMSの認証のための要求事項を全て満たしていることを実証できる場合には,そのISMS審査

――――― [JIS Q 27006 pdf 13] ―――――

                                                                                             11
                                                              Q 27006 : 2018 (ISO/IEC 27006 : 2015)
は他のマネジメントシステムの審査と複合してもよい。ISMSにとって重要な要素全てが審査報告書に明
確に記載されており,容易に識別できるようになっていなければならない。審査を複合することによって,
審査の質に悪影響が及ばないようにしなければならない。

9.2 審査の計画作成

9.2.1  審査目的,審査範囲及び審査基準の決定
  審査目的,審査範囲及び審査基準の決定は,JIS Q 17021-1:2015の9.2.1によるほか,次の要求事項及び
手引による。
9.2.1.1  IS 9.2.1審査目的
  審査目的には,依頼者がリスクアセスメントに基づいて該当する管理策を実施しており,かつ,確立し
た情報セキュリティ目的を達成していることを確実にするために,マネジメントシステムの有効性の決定
を含めなければならない。
9.2.2  審査チームの選定及び割当て
  審査チームの選定及び割当ては,JIS Q 17021-1:2015の9.2.2によるほか,次の要求事項及び手引による。
9.2.2.1  IS 9.2.2審査チーム
  認証機関は,審査チームを正式に任命し,そのチームに適切な作業文書を与えなければならない。審査
チームに与える業務を明確に定め,依頼者にも通知しなければならない。
  審査チームは1名で構成してもよいが,その人は,7.1.2.1の基準を全て満たしていなければならない。
9.2.2.2  IS 9.2.2審査チームの力量
  7.1.2に記載の要求事項を適用する。サーベイランス活動及び特別審査活動については,計画されたサー
ベイランス活動及び特別審査活動に関する要求事項だけとする。
  ある特定の認証審査を担当させる審査チームを選定及び管理する場合,認証機関は,その審査チームの
力量が担当する審査に対して適切であることを確実にしなければならない。審査チームは,次の事項を満
たさなければならない。
a) 認証が求められているISMSの範囲内の特定の活動に関する適切な専門的知識をもち,かつ,該当す
    る場合は,それらの特定の活動に関連する手順及びそれら特定の活動の潜在的な情報セキュリティリ
    スクについての適切な専門的知識をもつ(技術専門家がこの役割を果たしてもよい。)。
b) 依頼者の活動,製品又はサービスの情報セキュリティ面の管理に関して,組織内におけるISMSの適
    用範囲及び状況において,信頼できるISMS認証審査を行うのに十分な程度,依頼者について理解し
    ている。
c) 依頼者のISMSに適用される法的及び規制の要求事項を,適切に理解している。
      注記 “適切に理解している”とは,法律に関する高度に専門的な経歴を意味するものではない。
9.2.3  審査計画
  審査計画は,JIS Q 17021-1:2015の9.2.3によるほか,次の要求事項及び手引による。
9.2.3.1  IS 9.2.3一般
  ISMS審査のための審査計画では,決定された情報セキュリティ管理策を考慮しなければならない。
9.2.3.2  IS 9.2.3ネットワーク支援の審査手法
  審査計画は,適切に,その審査で利用されるネットワーク支援の審査手法を特定しなければならない。
  ネットワーク支援の審査手法には,例えば,電話・テレビ会議,ウェブ会議,双方向インターネットに
よる情報伝達,及びISMS文書又はISMSプロセスへの電子的な遠隔アクセスを含めてもよい。このよう
な手法の狙いは,審査の有効性及び効率性を高めること,並びに審査プロセスの完全性を支えるものであ

――――― [JIS Q 27006 pdf 14] ―――――

12
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
ることが望ましい。
9.2.3.3  IS 9.2.3審査のタイミング
  認証機関は,被審査組織と,その組織の適用範囲全体を最もよく実証するであろう審査時期について合
意することが望ましい。この検討考慮には,適宜,季節,月,曜日/日付及び勤務シフトを含むことがで
きる。

9.3 初回認証

  初回認証は,JIS Q 17021-1:2015の9.3によるほか,次の要求事項及び手引による。
9.3.1  IS 9.3.1初回認証審査
9.3.1.1  IS 9.3.1.1第一段階
  審査のこの段階で,認証機関は,JIS Q 27001:2014で要求されている文書を含む,依頼者のISMSの設
計に関する文書を入手しなければならない。
  認証機関は,依頼者の組織,リスクアセスメント及び対応(決定された管理策を含む。),情報セキュリ
ティ方針及び目的に照らしてそのISMSの設計に対する十分な理解を得なければならず,かつ,特に依頼
者の審査に対する準備状況について,十分に理解しなければならない。これによって,第二段階のための
計画が可能になる。
  第一段階の結果は,報告書として文書化しなければならない。認証機関は,第二段階への移行を決定す
る前に,第二段階のための必要な力量を備えた審査チームメンバーを選定するために,第一段階の審査報
告書をレビューしなければならない。
  認証機関は,第二段階では,詳細な調査のために別種の情報及び記録が追加して必要になるかもしれな
いことを,依頼者に知らせておかなければならない。
9.3.1.2  IS 9.3.1.2第二段階
9.3.1.2.1 認証機関は,第一段階の審査報告書に文書化された所見に基づき,第二段階を行うための審査
計画を策定する。第二段階の目的は,ISMSの有効な実施を評価することのほか,次のとおりである。
a) 依頼者が自らの方針,目的及び手順を守っていることを確認する。
9.3.1.2.2 そのために,この審査は,依頼者の次の事項に焦点を当てなければならない。
a) 情報セキュリティ方針及び情報セキュリティ目的に対する,トップマネジメントのリーダーシップ及
    びコミットメント
b)   IS Q 27001:2014に掲げられた文書化に関する要求事項
c) 情報セキュリティに関連するリスクのアセスメント,及びそのアセスメントが繰り返し実施された場
    合に,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すこと
d) その情報セキュリティリスクアセスメント及びリスク対応のプロセスに基づいた,管理目的及び管理
    策の決定
e) その情報セキュリティ目的に照らして評価される,情報セキュリティパフォーマンス及びISMSの有
    効性
f)  決定された管理策,適用宣言書,情報セキュリティリスクアセスメント・リスク対応のプロセスの結
    果,及び情報セキュリティ方針・目的の間の対応
g) 管理策の導入(附属書D参照)。ここでは,管理策が導入され,かつ,有効であるかを決定するため
    の,及び表明した情報セキュリティ目的を満たしているかを決定するための,外部及び内部の状況及
    び関連するリスク,並びにその組織による情報セキュリティプロセス及び管理策の監視,測定及び分
    析を考慮する。

――――― [JIS Q 27006 pdf 15] ―――――

次のページ PDF 16