JIS Q 27014:2015 情報技術―セキュリティ技術―情報セキュリティガバナンス

JIS Q 27014:2015 規格概要

この規格 Q27014は、情報セキュリティガバナンスについての概念及び原則に基づくガイダンスを示す。

JISQ27014 規格全文情報

規格番号
JIS Q27014 
規格名称
情報技術―セキュリティ技術―情報セキュリティガバナンス
規格名称英語訳
Information technology -- Security techniques -- Governance of information security
制定年月日
2015年7月21日
最新改正日
2015年7月21日
JIS 閲覧
‐ 
対応国際規格

ISO

ISO/IEC 27014:2013(IDT)
国際規格分類

ICS

35.040
主務大臣
経済産業
JISハンドブック
リスク・セキュリティ・事業継続 2019, 情報セキュリティ・LAN・バーコード・RFID 2019
改訂:履歴
2015-07-21 制定
ページ
JIS Q 27014:2015 PDF [13]
                                                              Q 27014 : 2015 (ISO/IEC 27014 : 2013)

pdf 目 次

ページ

  •  序文・・・・[1]
  •  1 適用範囲・・・・[1]
  •  2 引用規格・・・・[1]
  •  3 用語及び定義・・・・[1]
  •  4 概念・・・・[2]
  •  4.1 一般・・・・[2]
  •  4.2 目的・・・・[2]
  •  4.3 期待される結果・・・・[2]
  •  4.4 関係・・・・[3]
  •  5 原則及びプロセス・・・・[3]
  •  5.1 概要・・・・[3]
  •  5.2 原則・・・・[3]
  •  5.3 プロセス・・・・[5]
  •  附属書A(参考)情報セキュリティ報告書の例・・・・[8]
  •  附属書B(参考)詳細な情報セキュリティ報告書の例・・・・[9]
  •  参考文献・・・・[11]

(pdf 一覧ページ番号 1)

――――― [JIS Q 27014 pdf 1] ―――――

Q 27014 : 2015 (ISO/IEC 27014 : 2013)

まえがき

  この規格は,工業標準化法第12条第1項の規定に基づき,一般社団法人情報処理学会(IPSJ)及び一般
財団法人日本規格協会(JSA)から,工業標準原案を具して日本工業規格(日本産業規格)を制定すべきとの申出があり,
日本工業標準調査会の審議を経て,経済産業大臣が制定した日本工業規格(日本産業規格)である。
この規格は,著作権法で保護対象となっている著作物である。
この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意
を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実
用新案権に関わる確認について,責任はもたない。

(pdf 一覧ページ番号 2)

――――― [JIS Q 27014 pdf 2] ―――――

                                       日本工業規格(日本産業規格)                             JIS
Q 27014 : 2015
(ISO/IEC 27014 : 2013)

情報技術−セキュリティ技術−情報セキュリティガバナンス

Information technology−Security techniques− Governance of information security

序文

  この規格は,2013年に第1版として発行されたISO/IEC 27014を基に,技術的内容及び構成を変更する
ことなく作成した日本工業規格(日本産業規格)である。

1 適用範囲

  この規格は,情報セキュリティガバナンスについての概念及び原則に基づくガイダンスを示す。この規
格を適用することによって,組織が情報セキュリティに関連した活動を評価,指示,モニタ及びコミュニ
ケーションできるようになる。
この規格は,あらゆる業種及び規模の組織に適用できる。
注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。
ISO/IEC 27014:2013,Information technology−Security techniques−Governance of information
security(IDT)
なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”こ
とを示す。

2 引用規格

  次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの
引用規格は,記載の年の版を適用し,その後の改正版(追補を含む。)は適用しない。
JIS Q 27001:2014 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事

注記 対応国際規格 : ISO/IEC 27001:2005,Information technology−Security techniques−Information
security management systems−Requirements(IDT)
ISO/IEC 27000:2009,Information Technology−Security techniques−Information security management
systems−Overview and vocabulary

3 用語及び定義

  この規格で用いる主な用語及び定義は,ISO/IEC 27000:2009によるほか,次による。
3.1
業務執行幹部(executive management)

――――― [JIS Q 27014 pdf 3] ―――――

2
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
組織の目的を達成するための戦略及び方針を実施する責任を経営陣から委ねられた個人又はグループ。
注記1 業務執行幹部は,トップマネジメントの一部を形成する。役割を明確にするために,この規
格では,トップマネジメントの中の二つの集団,すなわち,経営陣と業務執行幹部とを区別
する。
注記2 業務執行幹部には,最高経営責任者(CEO),最高財務責任者(CFO),最高執行責任者(COO),
最高情報責任者(CIO),最高情報セキュリティ責任者(CISO)及び同様の役職が含まれる。
3.2
経営陣(governing body)
組織のパフォーマンス及び適合性について説明責任を負う個人又はグループ。
注記 経営陣は,トップマネジメントの一部を形成する。役割を明確にするために,この規格では,
トップマネジメントの中の二つの集団,すなわち,経営陣と業務執行幹部とを区別する。
3.3
情報セキュリティガバナンス(governance of information security)
組織の情報セキュリティ活動を指導し,管理するシステム。
3.4
利害関係者(stakeholder)
組織の活動に影響を与え,影響されることがある又は影響されると認知している,あらゆる人又は組織。
注記 意思決定者は,利害関係者であることがある。

4 概念

4.1 一般

  情報セキュリティガバナンスは,情報セキュリティの目的及び戦略を,事業の目的及び戦略に合わせて
調整する必要があり,法制度,規制及び契約を遵守する必要がある。また,情報セキュリティガバナンス
は,内部統制システムによって支援されるリスクマネジメント手法を通じて,評価,分析及び実施するこ
とが望ましい。
経営陣は,組織の決定及びその組織のパフォーマンスについて,最終的な説明責任を負う。情報セキュ
リティに関する経営陣の主な重点事項は,その組織の情報セキュリティの姿勢が効率的であり,効果的で
あり,受入れ可能であり,かつ,利害関係者の期待を十分に配慮しながら,事業目的及び戦略に合ったも
のであることを確実にすることである。多様な利害関係者は,異なる価値観及び必要性をもちえる。

4.2 目的

  情報セキュリティガバナンスの目的は,次による。
− 情報セキュリティの目的及び戦略を,事業の目的及び戦略に合わせる(戦略の整合)。
− 経営陣及び利害関係者に価値を提供する(価値の提供)。
− 情報リスクに対して適切に対処されていることを確実にする(説明責任)。

4.3 期待される結果

  情報セキュリティガバナンスを有効に実施することから得られる望ましい結果には,次の事項を含む。
− 情報セキュリティの状況に関する経営陣の見通し
− 情報リスクに関する素早い意思決定
− 情報セキュリティへの効率的,効果的な投資
− 外部要件(法制度,規制又は契約)の遵守

――――― [JIS Q 27014 pdf 4] ―――――

                                                                                              3
Q 27014 : 2015 (ISO/IEC 27014 : 2013)

4.4 関係

  組織の中には,情報技術ガバナンス(以下,ITガバナンスという。),コーポレートガバナンスなどの複
数領域のガバナンスモデルが存在する。いずれのガバナンスモデルも,事業目的との調整の重要性を強調
する,コーポレートガバナンスの不可欠な構成要素である。経営陣にとって,ガバナンスモデル全体の総
合的な観点を整備することは,通常,有益であり,情報セキュリティガバナンスはそのガバナンスモデル
全体の一部であることが望ましい。ガバナンスモデルの範囲は重複する場合がある。情報セキュリティガ
バナンスとITガバナンスとの間の関係の例を,図1に示す。
図1−情報セキュリティガバナンスとITガバナンスとの関係
ITガバナンスの包括的な範囲は,情報を取得,加工,保存及び普及するために必要な資源を対象として
いるのに対し,情報セキュリティガバナンスの範囲は,情報の機密性,完全性及び可用性を対象としてい
る。いずれのガバナンスのスキームも,次のガバナンスプロセス(評価,指示及びモニタ)によって実施
する必要がある。ただし,情報セキュリティガバナンスでは,追加の内部プロセスであるコミュニケーシ
ョンを必要とする。
情報セキュリティガバナンスを確立するために,経営陣に求められるタスクを箇条5に記載する。ガバ
ナンスのタスクは,参考文献で参照される他の情報セキュリティマネジメントシステムの規格群とともに,
JIS Q 27001に規定されたマネジメント要求事項にも関連している。

5 原則及びプロセス

5.1 概要

  この箇条では,情報セキュリティガバナンスを形成する原則及びプロセスについて記載する。情報セキ
ュリティガバナンスの原則とは,ガバナンスの実施に関する手引としてのガバナンス活動又は行為に関す
る一般に認められた取決めである。情報セキュリティガバナンスのプロセスは,情報セキュリティガバナ
ンスを可能にする一連のタスク及びそれらの相互関係を示す。また,ここでは,情報セキュリティに関す
るガバナンスとマネジメントとの間の関係も示す。これらの二つの構成要素については,5.2に記載する。

5.2 原則

  利害関係者の要望を満たすとともに,利害関係者のそれぞれに価値を提供することが,長期的な情報セ
キュリティの成功のために不可欠である。情報セキュリティを事業目的と密接に整合させること,及び利

――――― [JIS Q 27014 pdf 5] ―――――

次のページ PDF 6

JIS Q 27014:2015の引用国際規格 ISO 一覧

  • ISO/IEC 27014:2013(IDT)

JIS Q 27014:2015の国際規格 ICS 分類一覧

JIS ハンドブックから規格の検索、規格番号や名称が調べて探すことができます。
JIS ハンドブック 一覧 規格 種類別