この規格ページの目次
18
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
− 情報セキュリティプロセスの分析
− 継続的改善
− 情報セキュリティの内部監査
審査員は,次の規制要求事項についての知識をもち,かつ,これらを理解していることが望ましい。
− 知的財産
− 組織の記録の内容,保護及び保管
− データ保護及び個人情報の保護
− 暗号による管理策に関する規則
− 電子商取引
− 電子署名及びディジタル署名
− 職場での監督
− 電気通信の傍受及びデータの監視(例えば,電子メール)
− コンピュータの不正利用
− 電子的な証拠の収集
− 侵入試験
− 国際及び国内における分野固有の要求事項(例えば,銀行業)
――――― [JIS Q 27006 pdf 21] ―――――
19
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
附属書B
(規定)
審査工数
B.1
序文
この附属書は,JIS Q 17021-1:2015の9.1に関連する更なる要求事項を含む。この附属書は,広範な活動
分野において規模及び複雑さがそれぞれ異なる依頼者のISMSの適用範囲について,認証を行うために必
要となる工数を決定する手順を作成する場合の最低限の要求事項及び手引を,認証機関に対して提供する。
認証機関は,各依頼者及び認証されたISMSごとに,初回認証,サーベイランス及び再認証に費やされ
る審査工数を特定しなければならない。審査計画の段階でこの附属書を用いることは,適切な審査工数を
決定する一貫した方法に導く。さらに,審査工数は,その審査の過程,特に第一段階で見いだされること
(例えば,ISMS適用範囲の複雑さに関する異なるアセスメント,又は適用範囲に対する追加のサイト)
に基づいて調整してもよい。
この附属書では,次を示す。
− 審査工数の計算に使用する概念(B.2)
− 審査の異なる段階において審査工数を決定するための手順に関する要求事項(B.3B.5)
− 複数サイトの審査に関連する要求事項(B.6)
附属書Bの適用を説明する審査工数の計算例を,附属書Cに示す。
この手法は,審査工数決定のための計算方法が次を満たすことが望ましい,ということを基本的な前提
としている。
a) 根拠のある属性で判定可能なものだけを考慮する。
b) 認証機関が効率的に適用するのに十分容易である。
c) 明確に区別できる程度に十分複雑である。
審査工数の決定は,次の表B.1(“審査工数表”)に示す数字に基づき,かつ,修正に寄与する要因を考
慮しなければならない。
B.2 概念
B.2.1 組織の管理下で働く人の数
組織の管理下で働く全ての勤務シフトの合計の人数が,審査工数を決定する出発点となる。
注記 “組織の管理下で働く人”とは,JIS Q 17021-1:2015における要員のことをいう。
組織の管理下で働くパートタイムの人は,組織の管理下で働く常勤の人と比較した勤務時間数に比例し
て,組織の管理下で働く人の数に加算する。この決定は,常勤従業員の勤務時間数と比較した時間数に基
づかなければならない。
B.2.2 審査人・日
この表でいう“審査工数”とは,審査に費やす“審査人・日”によって示される。附属書Bは,1日当
たりの労働時間として8時間を基礎としている。
B.2.3 一時的サイト
――――― [JIS Q 27006 pdf 22] ―――――
20
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
一時的サイトとは,認証文書が特定したサイトとは異なる,一定の期間,認証の範囲内の活動が実施さ
れる場所である。このようなサイトには,大きなプロジェクト管理のサイトから小さなサービス/据付設
置のためのサイトまで,様々なものがあろう。このようなサイトを訪問する必要性及び訪問場所のサンプ
リングの範囲は,一時的サイトに起因する不適合によって情報セキュリティ目的を満たせなくなることの
リスクの評価に基づくことが望ましい。選択するサイトのサンプルは,組織に求められる力量及びそのサ
ービスの種類を代表することが望ましく,活動の規模及び種類並びにプロジェクト進行中の諸段階が考慮
されたものであることが望ましい。一般的なサンプリングについては,この規格の9.1.5.1を参照。
B.3 初回審査の審査工数を決定するための手順
B.3.1 一般
審査工数の計算は,文書化された手順に従わなければならない。
B.3.2 遠隔審査
遠隔審査の手法(例えば,対話形ウェブベースの共同作業,ウェブ会議,テレビ・電話会議及び/又は
その組織のプロセスの電子的な検証)を,組織とのやり取りに利用する場合には,審査計画(9.2.3参照)
の中でこうした活動を特定することが望ましい。この活動は,現地審査の工数合計に,ある割合で加算し
てもよい。
遠隔審査の活動が,計画した現地審査工数の30 %を超える審査計画を策定する場合,認証機関は,その
審査計画の正当性を示すとともに,その審査に先立って,認定機関から特別の承認を得なければならない。
注記 現地審査工数とは,個別のサイトに割り当てられる審査工数をいう。離れたサイトへの電子的
審査は,それを組織の敷地内で物理的に行う場合でも,遠隔審査とみなされる。
B.3.3 審査工数の計算
表B.1に示す審査工数表は,平均的な初回審査日数[この審査日数には,初回審査(第一段階及び第二
段階)のための日数を含む。以下,同じ。]の計算の出発点を設定したものであり,この日数は,ISMSの
適用範囲(所与の組織の管理下で働く人の数による。)に対して,適切であることが経験によって示されて
いる。また,この表に示したものと同じ規模のISMSの適用範囲であっても,より多くの工数を必要とす
る場合もあれば,より少ない工数でもよい場合があることも,経験によって実証されている。
表B.1に示す審査工数表は,審査計画の立案に利用しなければならない枠組みを提供する。この枠組み
では,組織の管理下で働く全ての勤務シフトの合計の人数に基づいて計画立案の出発点を特定し,次に,
審査対象のISMS適用範囲にある重要な要因に基づいてこれを調整し,各要因に対して追加又は削減の重
み付けをしてこの基礎となる数字を修正する。この審査工数表は,これらの修正に寄与する要因及び逸脱
の制限(次のB.3.4及びB.3.5参照)を考慮して用いなければならない。この表が用いている用語は上記の
B.2で説明しており,また,この実施方法の例を附属書Cに示す。
――――― [JIS Q 27006 pdf 23] ―――――
21
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
表B.1−審査工数表
組織の管理下で QMSの初回審査 EMSの初回審査 ISMSの初回審査 追加・削減要因 合計審査工数
働く人の数 工数(審査人・日)
工数(審査人・日) 工数(審査人・日)
110 1.52 2.53 5 B.3.4参照
1115 2.5 3.5 6 B.3.4参照
1625 3 4.5 7 B.3.4参照
2645 4 5.5 8.5 B.3.4参照
4665 5 6 10 B.3.4参照
6685 6 7 11 B.3.4参照
86125 7 8 12 B.3.4参照
126175 8 9 13 B.3.4参照
176275 9 10 14 B.3.4参照
276425 10 11 15 B.3.4参照
426625 11 12 16.5 B.3.4参照
626875 12 13 17.5 B.3.4参照
8761 175 13 15 18.5 B.3.4参照
1 1761 550 14 16 19.5 B.3.4参照
1 5512 025 15 17 21 B.3.4参照
2 0262 675 16 18 22 B.3.4参照
2 6763 450 17 19 23 B.3.4参照
3 4514 350 18 20 24 B.3.4参照
4 3515 450 19 21 25 B.3.4参照
5 4516 800 20 23 26 B.3.4参照
6 8018 500 21 25 27 B.3.4参照
8 50110 700 22 27 28 B.3.4参照
10 700を超え 上記の加算率に 上記の加算率に 上記の加算率に B.3.4参照
従う。 従う。 従う。
B.3.4 審査工数を調整するための要因
この審査工数表は,それ単独では利用してはならない。割り当てられる工数は,ISMSの複雑さに関連
しており,したがってそのISMSの審査に必要な工数に関連する次の要因も考慮したものでなければなら
ない。
a) SMSの複雑さ(例えば,情報の重要性,そのISMSのリスクの状況など)
b) SMSの適用範囲内で実施される事業の種類
c) SMS の既に実証されたパフォーマンス
d) SMSの様々な構成要素を導入する場合に使用される,技術の範囲及び多様性(例えば,異なるITプ
ラットフォーム数,分離したネットワーク数)
e) SMSの適用範囲内で用いられる外部委託及び第三者契約の範囲
f) 情報システムの開発の程度
g) サイト数及び災害復旧(DR)サイトの数
h) サーベイランス又は再認証審査の場合 : JIS Q 17021-1:2015の8.5.3に基づくISMSに関連する変更の
量及び程度
附属書Cに,審査工数を計算する際に,これらの様々な要因をどのように考慮し得るかについての例を
――――― [JIS Q 27006 pdf 24] ―――――
22
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
示す。
審査工数の追加が必要となる付加的要因に,次の例がある。
− ISMSの適用範囲において複数の建物又は場所を含むような,サイトの所在地・数に関わる複雑な状
況
− 要員が複数の言語を話す(審査員ごとに通訳者を要する。さもなければ,審査員は個別に業務が行え
ない。),又は文書が複数の言語で提供される。
− 常設のサイトのマネジメントシステムが認証対象となっているが,その活動を確認するために一時的
サイトの訪問を必要とする活動(次の削減の要因の一覧のすぐ下の段落参照)
− そのISMSに適用される,多数の規格及び規則
審査工数の削減が可能となる要因に,次の例がある。
− リスクがない/低い,製品/プロセス
− プロセスが単一の一般的活動に関わっている(例えば,サービスだけ)。
− 同一の作業を行う組織の管理下で働く人の比率が高い。
− その組織についてあらかじめ知っている(例えば,その組織が既に別の規格に対する認証を同じ認証
機関から受けている場合)。
− 認証に対する依頼者の準備状況が整っている(例えば,既に他の第三者スキームで認証又は認知され
ている場合)。
− そのマネジメントシステムの成熟度が高い。
依頼者又は被認証組織が一時的サイトにおいて製品又はサービスを提供している場合には,このような
サイトの評価をその認証審査及びサーベイランスプログラムに含めることが重要である。
上記の要因を考慮しなければならず,かつ,有効な審査のための追加・削減した審査工数の正当性を示
す要因について,調整を行わなければならない。追加要因は,削減要因によって相殺してもよい。審査工
数表に示した工数を調整する全ての場合において,それからの差異の正当性を示す十分な証拠及び記録を
維持しなければならない。
B.3.5 審査工数の逸脱の制限
有効な審査を実施することを確実にするために,かつ,信頼できる同様な結果を確実にするために,審
査工数表に示す審査工数は30 %を超えて削減してはならない。
逸脱についての適切な理由を明確にし,文書化しなければならない。
B.3.6 現地審査工数
計画立案及び報告書作成の合計時間の割合が増大することによって,現地審査工数が,通常は,審査工
数表に示す時間1) の70 %未満にならないことが望ましい。計画立案及び/又は報告書作成に多くの時間
が必要な場合でも,それは,現地審査工数を削減する理由にしてはならない。審査員の移動時間は,この
計算に含まれていないので,この表の審査工数への追加となる。
注1) ここでいう審査工数表に示す時間とは,B.3.3及びB.3.4で導き出された審査工数のことをいう。
注記 70 %とは,ISMS審査の経験に基づいた値である。
B.4 サーベイランス審査の審査工数
初回の認証審査サイクルでは,当該組織のためのサーベイランス工数は,サーベイランスのための年間
――――― [JIS Q 27006 pdf 25] ―――――
次のページ PDF 26
JIS Q 27006:2018の引用国際規格 ISO 一覧
- ISO/IEC 27006:2015(IDT)
JIS Q 27006:2018の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化
JIS Q 27006:2018の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISQ27000:2019
- 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語