23
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
合計工数を初回審査工数の約3分の1とすることで,初回審査の工数に比例させることが望ましい。計画
したサーベイランス工数は,審査工数に影響を与える変化を考慮するために随時にレビューすることが望
ましい。サーベイランス審査に費やす工数は,ISMSにおける変更の審査(新規の又は変更された管理策
の審査など)を行えるように追加しなければならない。
B.5 再認証審査の審査工数
再認証審査を行うことに必要な総工数は,この規格の9.4.3及びJIS Q 17021-1:2015の9.6.3に規定され
たそれまでの全ての審査の結果に基づかなければならない。再認証審査の工数は,再認証のための審査が
必要となった時点で,同じ組織を初回認証審査するとしたら必要となる工数に比例していること,及び同
じ組織を初回認証審査するとしたら必要となる工数の少なくとも3分の2にすることが望ましい。
B.6 複数サイトの審査工数
中央事務所を含めたサイトごとの審査人・日数は,サイトごとに計算しなければならない。
中央事務所又は現地事業所に関係のない審査の部分を考慮した上で工数を削減してもよい。認証機関は,
そのような削減の正当性を証明するための理由を記録しなければならない。
――――― [JIS Q 27006 pdf 26] ―――――
24
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
附属書C
(参考)
審査工数の計算方法
C.1 一般
この附属書は,審査工数の計算式を導き出すための付加的指針を提供する。C.2に,審査工数の計算の
基礎として使用できる要因の分類の例を示し,C.3に,審査工数の計算例を示す。
C.2 審査工数の計算のための要因の分類
表C.1に,B.3.4のa) h) に示す審査工数の計算のための主な要因の分類の例を示す。この分類は,認
証機関が9.1.4.1に従って審査工数の計算方法を導き出すために使用できる。
表C.1−審査工数の計算のための要因の分類
工数への影響
削減 通常 増加
要因(B.3.4参照)
a) SMSの複雑さ : ・ 取扱いに慎重を要する ・ より高い可用性の要求・ 取扱いに慎重を要する
・ 情報セキュリティ要求 情報,又は機密情報がほ 事項があるか,又は取扱 情報又は機密情報がよ
事項[機密性,完全性, とんどなく,可用性の要 いに慎重を要する情報 り多くある(例えば,健
可用性(CIA)] 求事項が低い。 又は機密情報が多少あ 康,個人を特定できる情
・ 重要な資産の数 ・ (CIAの観点からの)重 る。 報,保険,銀行業務),
・ プロセス及びサービス 要な資産がほとんどな ・ 重要な資産が多少ある。又は高い可用性の要求
の数 い。 ・ 2,3の単純な事業プロ 事項がある。
・ 主要な事業プロセスは ・ 重要な資産が多い。
セスがあり,これに関連
一つだけで,これに関連 するインタフェース及 ・ 三つ以上の複雑なプロ
するインタフェース及 び事業部門はほとんど セスがあり,これに関連
び事業部門はほとんど ない。 する多くのインタフェ
ない。 ース及び事業部門があ
る。
b) SMSの適用範囲内で実 ・ 厳しい規制要求事項が
・ 規制要求事項のない,リ ・ 限定された規制要求事
施される事業の種類 スクの低い事業 ある。 項(だけ)がある,リス
クの高い事業
c) SMSの既に実証された ・ 最近認証された。 ・ 最近サーベイランス審・ 認証されておらず,最近
パフォーマンス ・ 認証されていないが,文 査を受けた。 受けた審査もない。
書化された内部監査,マ・ 認証されていないが,・ ISMSは新しく,十分に
ネジメントレビュー及 ISMSが部分的に実施さ 確立されていない(例え
び有効な継続的改善シ れている。幾つかのマネ ば,マネジメントシステ
ステムを含む,数回の審 ジメントシステムツー ム固有の管理体制の欠
査及び改善サイクルに ルが使用可能で,実施さ 如,未成熟な継続的改善
わたってISMSが十分に れている。幾つかの継続 プロセス,臨時のプロセ
実施されている。 的改善プロセスが実施 スの実行)。
されているが,文書化は
部分的である。
――――― [JIS Q 27006 pdf 27] ―――――
25
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
表C.1−審査工数の計算のための要因の分類(続き)
工数への影響
削減 通常 増加
要因(B.3.4参照)
d) SMSの様々な構成要素 ・ 高度に標準化された環 ・ ITが高度に多様化され
・ 標準化されているが,IT
を導入する場合に使用 境で,多様性が低い(IT プラットフォーム,サー ている又は複雑である
される,技術の範囲及び プラットフォーム,サー バ,オペレーティングシ (例えば,数多くの異な
多様性(例えば,異なる バ,オペレーティングシ ステム,データベース, るネットワークのセグ
ITプラットフォーム数, ステム,データベース, ネットワークなどが多 メント,サーバ又はデー
分離したネットワーク ネットワークなどの数 様である。 タベースの種類,主要な
数) が少ない。)。 アプリケーションがあ
る。)。
e) SMSの適用範囲内で用 ・ 幾つかの部分的に管理
・ 外部委託がなく,供給者 ・ 外部委託又は供給者へ
いられる外部委託及び への依存度はほとんど された外部委託の取決 の依存度が高く,重要な
第三者契約の範囲 ない,又は めがある。 事業活動への影響が大
・ 十分に定義,管理及び監 きい,又は
視された外部委託の取 ・ 外部委託の規模又は範
決めがある。 囲が不明,又は
・ 外部委託者がISMS認証 ・ 幾つかの外部委託の取
を受けている。 決めが管理されていな
・ 関連する独立した保証 い。
報告書が入手可能であ
る。
f) 情報システムの開発の ・ 社内のシステム開発は ・ 社内のソフトウェア開
・ 複雑な構成・パラメータ
程度 ない。 化を用いた標準化され 発活動が広範で,重要な
・ 標準化されたソフトウ たソフトウェアプラッ 事業目的のための幾つ
ェアプラットフォーム トフォームを使用して かのプロジェクトが進
を使用している。 いる。 行中である。
・ (高度に)カスタマイズ
されたソフトウェアが
ある。
・ 幾つかの開発活動(社内
又は外部委託)を行って
いる。
g) サイト数及び災害復旧 ・ 可用性の要求事項が低 ・ 可用性の要求事項が中・ 可用性の要求事項が高
(DR)サイトの数 く,代替のDRサイトが 度又は高度で,代替の い。例えば,24時間365
ないか又は一つである。 DRサイトがないか又は 日稼働のサービス
一つである。 ・ 代替のサイトが幾つか
ある。
・ データセンターが幾つ
かある。
h) サーベイランス又は再 ・ 前回の再認証審査から ・ ISMSの適用範囲又は適・ ISMSの適用範囲又は適
認証審査の場合 : JIS Q 変更はない。 用宣言書を若干変更し 用宣言書に大きな変更
17021-1:2015の8.5.3に た。例えば,幾つかの方 を加えた。例えば,新し
基づくISMSに関連する 針群,文書など いプロセス,新規の事業
変更の量及び程度 ・ 上記の要因を若干変更 部門,分野,リスクアセ
した。 スメントマネジメント
の方法,方針群,文書,
リスク対応
・ 上記要因に大きな変更
を加えた。
――――― [JIS Q 27006 pdf 28] ―――――
26
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
C.3 審査工数の計算例
次の例では,認証機関が,審査工数を計算するためにB.3に規定する要因をどのように使用できるかを
示す。この例における審査工数の計算は,次の方法で行う。
ステップ1 : 事業及び組織に関連する要因(IT以外)の決定 : 表C.2の各カテゴリについて,適切なレ
ベルを特定して,その結果を合計する。
ステップ2 : IT環境に関する要因の決定 : 表C.3の各カテゴリについて,適切なレベルを特定して,そ
の結果を合計する。
ステップ3 : 上記のステップ1及び2の結果に基づき,表C.4の適切な項目を選択して,審査工数に対
する要因の影響を特定する。
ステップ4 : 最終計算 : 審査工数表(表B.1)を適用することによって決定した日数に,ステップ3から
得た要因を乗じる。複数サイトサンプリングを利用する場合には,複数サイトサンプリング計画の実施に
必要な工数に基づいて計算した審査人日を追加する。
この結果が,最終的な審査工数である。
表C.2−事業及び組織に関連する要因(IT以外)
カテゴリ レベル
事業の種類及び規制要求事項 1. 組織は,重要な事業分野に該当しない分野及び規制されていない分野で業務を
行っている。a
2. 組織は,重要な事業分野で業務を行っている顧客がある。a
3. 組織は,重要な事業分野で業務を行っている。a
プロセス及び作業 1. 標準的で繰返しの作業が通常プロセスであり,組織の管理下で働く多くの人が
同じ作業をしている。製品又はサービスの数が少ない。
2. 標準的だが,繰返しのプロセスではない。多くの製品又はサービスがある。
3. 認証範囲内に,複雑なプロセス,多くの製品及びサービス,多くの事業部門が
ある(ISMSがその非常に複雑なプロセスを含む,又は比較的多くの若しくは
固有の活動を含む。)。
MSの確立のレベル 1. ISMSは既に十分に確立されている及び/又は他のマネジメントシステムが実
施されている。
2. 他のマネジメントシステムの要素で実施しているものもあれば実施していな
いものもある。
3. 他のマネジメントシステムは全く実施されておらず,ISMSは新規であり確立
されていない。
a 重要な事業分野とは,国に対して非常に大規模な悪影響を及ぼす可能性のある,医療,セキュリティ,経済,イ
メージ及び政府の機能能力に対するリスクを引き起こすであろう重要な公共サービスに影響を与え得る分野で
ある。
――――― [JIS Q 27006 pdf 29] ―――――
27
Q 27006 : 2018 (ISO/IEC 27006 : 2015)
表C.3−IT環境に関連する要因
カテゴリ レベル
ITインフラの複雑さ 1 ITプラットフォーム,サーバ,オペレーティングシステム,データベース,
ネットワークなどの数が少ない,又は高度に標準化されている。
2 幾つかの異なるITプラットフォーム,サーバ,オペレーティングシステム,
データベース,ネットワークがある。
3 多くの異なるITプラットフォーム,サーバ,オペレーティングシステム,デ
ータベース,ネットワークがある。
外部委託及び供給者(クラウド1 外部委託又は供給者への依存度が低い又はない。
サービスを含む。)への依存度2 全てではないが,幾つかの重要な事業活動に関連して,外部委託又は供給者に
幾らか依存している。
3 外部委託又は供給者への依存度が高く,重要な事業活動に大きく影響する。
情報システム開発 1 社内でのシステム/アプリケーション開発は全くないか,又は非常に限られて
いる。
2 幾つかの重要な事業目的に対して,社内又は外部委託したシステム/アプリケ
ーション開発が幾つかある。
3 重要な事業目的に対して,社内又は外部委託したシステム/アプリケーション
開発が広範囲に存在する。
表C.4−審査工数に対する要因の影響度
ITの複雑さ
低(34) 中(56) 高(79)
事業の複雑さ 高(79) +5 %+20 % +10 %+50 % +20 %+100 %
中(56) −5 %−10 % 0% +10 %+50 %
低(34) −10 %−30 % −5 %−10 % +5 %+20 %
例1 審査対象の組織には,700人の従業員がいる。したがって,表B.1によって,初回審査には17.5
審査人・日が必要である。組織は,重要な事業分野では活動しておらず,高度に標準化された
繰返しの多い作業を行っており,かつ,ISMSを確立したばかりである。表C.2によって,事
業及び組織に関連する要因は1+1+3=5となる。当該組織は,ITプラットフォーム及びデー
タベースの数は非常に少ないが,外部委託を広範に使用している。組織内での開発,又は外部
委託による開発を行っていない。表C.3によって,IT環境に関連する要因は1+3+1=5とな
る。表C.4を使用すると,これは審査工数に対する調整にはつながらない。
例2 幾つかのマネジメントシステムが既に実施され,また,ISMSが既に十分に確立していること
を除き,前の例と同じ組織の場合,表C.2による計算は1+1+1=3となる。表C.4を使用する
と,審査工数5 %10 %の削減,すなわち,11.5人・日削減され,合計1616.5人・日にな
る。
――――― [JIS Q 27006 pdf 30] ―――――
次のページ PDF 31
JIS Q 27006:2018の引用国際規格 ISO 一覧
- ISO/IEC 27006:2015(IDT)
JIS Q 27006:2018の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化
JIS Q 27006:2018の関連規格と引用規格一覧
- 規格番号
- 規格名称
- JISQ27000:2019
- 情報技術―セキュリティ技術―情報セキュリティマネジメントシステム―用語