この規格ページの目次
13
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
h) プログラム,プロセス,手順,記録,内部監査,及びそのISMSの有効性のレビュー。これらは,ト
ップマネジメントの決定,並びに情報セキュリティ方針及び目的が,これらからたどれることを確実
にするものである。
9.4 審査の実施
審査の実施は,JIS Q 17021-1:2015の9.4によるほか,次の要求事項及び手引による。
9.4.1 IS 9.4一般
認証機関は,次の事項についての文書化された手順をもたなければならない。
a) IS Q 17021-1:2015に従って行う,依頼者のISMSの初回認証審査
b) IS Q 17021-1:2015に従って定期的に実施する依頼者のISMSのサーベイランス及び再認証審査。この
サーベイランス及び再認証審査は,依頼者のISMSが該当する要求事項に継続的に適合していること,
及び依頼者が全ての不適合を是正するために適時に是正処置をとっていることを検証し,かつ,記録
するために行う。
9.4.2 IS 9.4 ISMS審査の固有の要素
認証機関は,審査チームをその代表として,次の事項を実施しなければならない。
a) 情報セキュリティに関するリスクアセスメントがISMSの適用範囲内におけるISMSの運用に関連が
あり,かつ,適切であることを実証するよう依頼者に求める。
b) 情報セキュリティに関するリスクを特定,調査及び評価するための依頼者の手順,並びにこの手順を
実施した結果が,依頼者の方針,目的及び目標と整合しているかどうかを確認する。
さらに,認証機関は,リスクアセスメントに用いられる手順が確かで,適切に導入されているか否かを
確認しなければならない。
9.4.3 IS 9.4審査報告書
9.4.3.1 JIS Q 17021-1:2015の9.4.8の報告書に関する要求事項に加えて,この審査報告書は,次の情報又
は次の情報への参照を提供しなければならない。
a) 文書レビューの要約を含む審査の詳細
b) 依頼者の情報セキュリティリスク分析に関する認証審査の詳細
c) 審査計画からの逸脱(例えば,予定された活動に対して費やされた時間が多いか又は少ない。)
d) SMSの適用範囲
9.4.3.2 審査報告書は,十分に詳細で,認証の決定を裏付けし,かつ,それを支えなければならない。ま
た,この報告書は,次の事項を含まなければならない。
a) 重要な審査証跡及び利用した審査方法(9.1.3.2参照)。
b) 観察された事項,肯定的(例えば,特筆すべき特性)及び否定的(例えば,潜在的な不適合)なもの。
c) 依頼者のISMSの認証要求事項に対する適合性に関する見解。これには,不適合についての明確な表
明,適用宣言書の版の引用,及び該当する場合には,依頼者の以前の認証審査の結果との有用な比較
を含める。
回答が記入された質問状,チェックリスト,観察記録,ログ又は審査員のノートは,審査報告書を構成
する一部となる場合もある。これらの方法を使用する場合,認証の決定に裏付けを与える証拠として,こ
れらの文書を認証機関に提出しなければならない。審査中に評価したサンプルに関する情報を,この審査
報告書又は他の認証文書に含めなければならない。
この報告書では,依頼者がそのISMSに信頼を与えるために採用している内部の組織体制及び手順の適
――――― [JIS Q 27006 pdf 16] ―――――
14
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
切性を考慮しなければならない。
報告に関する要求事項は,JIS Q 17021-1:2015の9.4.8による。さらに,この報告書には,次の事項を含
めなければならない。
− ISMSの要求事項・管理策の導入,及びそれらの有効性に関する,否定的・肯定的な最も重要な観察
された事項の要約
− 依頼者のISMSを認証することが望ましいか否かについての審査チームの推薦。これには,この推薦
を立証する情報を含める。
9.5 認証の決定
認証の決定は,JIS Q 17021-1:2015の9.5によるほか,次の要求事項及び手引による。
9.5.1 IS 9.5認証の決定
認証の決定は,JIS Q 17021-1:2015によるほか,認証審査報告書(9.4.3参照)で示された審査チームに
よる認証の推薦に基づかなければならない。
認証の授与の決定を行う者又は委員会は,通常,審査チームの否定的な推薦を覆さないほうがよい。そ
のような状況が生じた場合,認証機関は,審査チームの否定的な推薦を覆すという決定の根拠を文書化し,
かつ,その根拠の正当性を示さなければならない。
依頼者のマネジメントレビュー及びISMS内部監査のための取決めが導入されていて,有効であり,か
つ,維持されることを実証する十分な証拠が得られるまでは,依頼者に認証を授与してはならない。
9.6 認証の維持
9.6.1 一般
一般は,JIS Q 17021-1:2015の9.6.1による。
9.6.2 サーベイランス活動
サーベイランス活動は,JIS Q 17021-1:2015の9.6.2によるほか,次の要求事項及び手引による。
9.6.2.1 IS 9.6.2サーベイランス活動
9.6.2.1.1 サーベイランスの手順は,この規格に規定する依頼者のISMSの認証審査に関する手順と整合
していなければならない。
サーベイランスの目的は,承認されたISMSが引き続き実施されていることを検証し,依頼者の運営の
変更の結果として生じた,そのシステムへの変更の影響を検討し,かつ,認証要求事項の継続的な順守を
確認することである。サーベイランス審査プログラムは,少なくとも,次の事項を含まなければならない。
a) システム維持の要素(情報セキュリティリスクアセスメント及び管理策の維持,ISMS内部監査,マ
ネジメントレビュー,並びに是正処置など)
b) IS Q 27001:2014及び認証に必要な他の文書で要求されている,外部からの情報
c) 文書化されたシステムへの変更
d) 変更された領域
e) IS Q 27001:2014の中の選択した要求事項
f) 該当するその他の選択した領域
9.6.2.1.2 認証機関による各サーベイランスは,少なくとも,次の事項をレビューしなければならない。
a) 依頼者の情報セキュリティ方針の目的達成の点から見たISMSの有効性
b) 関連する情報セキュリティに関する法規制の順守を,定期的に評価しレビューする手順が機能してい
ること
c) 決定した管理策の変更,及びその結果生じる適用宣言書の変更
――――― [JIS Q 27006 pdf 17] ―――――
15
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
d) 審査プログラムに従った,管理策の実施状況及び有効性
9.6.2.1.3 認証機関は,サーベイランス審査プログラムを,リスク及び依頼者への影響に関連する情報セ
キュリティの課題に対して対応できるようにしなければならず,かつ,このプログラムの正当性を示せな
ければならない。
サーベイランス審査は,他のマネジメントシステムの審査と組み合わせてもよい。その場合,報告は,
それぞれのマネジメントシステムに関連する側面を明確に示さなければならない。
サーベイランス審査において,認証機関は,認証機関に持ち込まれた異議申立て及び苦情の記録を点検
し,かつ,認証要求事項を満たす上での不適合又は不備が明らかな場合は,依頼者が,自らのISMS及び
手順を調査して,適切な是正処置をとったことを確認しなければならない。
サーベイランス報告書には,特に,以前に発見された不適合の解決に関する情報,並びに適用宣言書の
版及び前回審査からの重要な変更に関する情報を含まなければならない。サーベイランスから上げる報告
書は,少なくとも,全体として9.6.2.1.1及び9.6.2.1.2の要求事項を含むように作成しなければならない。
9.6.3 再認証
再認証は,JIS Q 17021-1:2015の9.6.3によるほか,次の要求事項及び手引による。
9.6.3.1 IS 9.6.3再認証審査
再認証審査の手順は,この規格に規定する依頼者のISMS初回認証審査に関する手順と整合していなけ
ればならない。
是正処置を実施するために認める期間は,その不適合の重大さの程度に応じ,かつ,関連する情報セキ
ュリティリスクに応じたものでなければならない。
9.6.4 特別審査
特別審査は,JIS Q 17021-1:2015の9.6.4によるほか,次の要求事項及び手引による。
9.6.4.1 IS 9.6.4特別なケース
ISMSの認証を受けた依頼者がそのシステムに重大な変更を加える場合,又はその認証の基盤に影響を
与えるような他の変化が起きる場合,特別審査を行うために必要な活動は,特別な規定によらなければな
らない。
9.6.5 認証の一時停止,取消し又は範囲の縮小
認証の一時停止,取消し又は範囲の縮小は,JIS Q 17021-1:2015の9.6.5による。
9.7 異議申立て
異議申立ては,JIS Q 17021-1:2015の9.7による。
9.8 苦情
苦情は,JIS Q 17021-1:2015の9.8によるほか,次の要求事項及び手引による。
9.8.1 IS 9.8苦情
苦情は,潜在的なインシデント及び潜在的な不適合を示す。
9.9 依頼者に関する記録
依頼者に関する記録は,JIS Q 17021-1:2015の9.9による。
10 認証機関に関するマネジメントシステム要求事項
10.1 マネジメントシステムに関する選択肢
マネジメントシステムに関する選択肢は,JIS Q 17021-1:2015の10.1によるほか,次の要求事項及び手
引による。
――――― [JIS Q 27006 pdf 18] ―――――
16
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
10.1.1 IS 10.1 ISMSの導入
JIS Q 27001に従ってISMSを導入することを認証機関に推奨する。
10.2 選択肢A : マネジメントシステムに対する一般要求事項
マネジメントシステムに対する一般要求事項は,JIS Q 17021-1:2015の10.2による。
10.3 選択肢B : JIS Q 9001に従ったマネジメントシステムの要求事項
JIS Q 9001に従ったマネジメントシステムの要求事項は,JIS Q 17021-1:2015の10.3による。
――――― [JIS Q 27006 pdf 19] ―――――
17
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
附属書A
(参考)
ISMSの審査及び認証に関する知識及び技能
A.1 概要
表A.1は,ISMSの審査及び認証に求められる知識及び技能の概要を提供するが,特定の認証の機能に
関する知識及び技能の分野だけを示すもので,参考情報である。
各機能に対する力量要求事項は,この規格の本体に規定しており,この表は各要求事項への参照を示す。
表A.1−ISMSの審査及び認証に関する知識
認証の機能
申請のレビューの実施 審査報告書のレビュー 審査及び審査チームの
(審査チームに要求され 及び認証の決定 指揮
る力量を判定し,審査チー
ムメンバーを選定し,審査
工数を決定するための申
請のレビューの実施)
知識
情報セキュリティマネジ 7.1.2.4.2 7.1.2.1.2
メントの用語,原則,実務
及び技術
情報セキュリティマネジ 7.1.2.3.1 7.1.2.4.3 7.1.2.1.3
メントシステムの規格・規
準文書
ビジネスマネジメントの 7.1.2.1.4
実務
依頼者の事業分野 7.1.2.3.2 7.1.2.4.4 7.1.2.1.5
依頼者の製品,プロセス及 7.1.2.3.3 7.1.2.4.5 7.1.2.1.6
び組織
A.2 一般的な力量に関する考慮事項
審査員が自らの知識及び経験を証明する手段には複数の方法がある。例えば,認知された資格を用いる
ことによって,知識及び経験を評価することができる。また,要員認証スキームでの登録の記録も,要求
される知識及び経験を評価するために用いることができる。審査チームに要求される力量のレベルは,組
織の業種/技術分野及びそのISMSの複雑さに対応して確立することが望ましい。
A.3 特定の知識及び経験に関する考慮事項
A.3.1 ISMSに関連する代表的な知識
7.1.2の要求事項に加えて,次の事項を考慮することが望ましい。審査員は,次に示す審査及びISMSに
関する事項についての知識をもち,かつ,これらを理解していることが望ましい。
− 審査プログラム及び審査計画
− 審査の種類及び方法論
− 審査リスク
――――― [JIS Q 27006 pdf 20] ―――――
次のページ PDF 21
JIS Q 27006:2018の引用国際規格 ISO 一覧
- ISO/IEC 27006:2015(IDT)
JIS Q 27006:2018の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化
JIS Q 27006:2018の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISQ27000:2019
- 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語