4
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
害関係者に価値を提供することというガバナンスの目的を達成するために,ここでは六つの行動指向の原
則を提示する。
原則は,情報セキュリティガバナンスのプロセスを実施するための適切な基盤を提供する。各原則の文
言は,どうあるべきかについて言及しているが,その原則をどのようにして,いつ,誰が実施するかにつ
いては記載しない。それは,これらの側面が原則を実施する組織の性質に依存するからである。経営陣は,
これらの原則が適用されることを要求するとともに,それを実施する責任者,説明責任をもつ者及び権限
をもつ者を任命することが望ましい。
原則1 : 組織全体の情報セキュリティを確立する。
情報セキュリティガバナンスは,情報セキュリティ活動が包括的であり統合されていることを確実にす
ることが望ましい。情報セキュリティは,事業,情報セキュリティ及びその他の全ての関連側面を考慮し
た意思決定を行う組織レベルで取り扱うことが望ましい。物理的及び論理的セキュリティに関する活動は,
密接に調整することが望ましい。
組織全体のセキュリティを確立するために,情報セキュリティに関する責任及び説明責任を,その組織
の活動の全範囲にわたって確立することが望ましい。通常,これらの責任及び説明責任は,外部の第三者
が情報を保存し,移転することなどによって,一般に認識されているその組織の“境界”を越えて拡大す
る。
原則2 : リスクに基づく取組みを採用する。
情報セキュリティガバナンスは,リスクに基づく意思決定に基づくことが望ましい。どれくらいのセキ
ュリティが必要と認められるかの決定は,その組織のリスク選好1)に基づくことが望ましく,それには競
争優位性の喪失,法令遵守及び法的責任のリスク,事業中断,信用喪失並びに金銭的損失が含まれる。
組織にとって適切な情報リスクマネジメントは,組織のリスクマネジメント全体と一貫して統合されて
いることが望ましい。許容できる情報セキュリティのレベルは,組織のリスク選好によって定義され,そ
れには競争優位性の喪失,法令遵守及び法的責任のリスク,事業中断,信用喪失並びに金銭的損失が含ま
れる。情報リスクマネジメントを実施するための適切な資源は,経営陣によって配分することが望ましい。
注1) IS Q 0073:2010(リスクマネジメント−用語)の3.7.1.2参照
原則3 : 投資決定の方向性を設定する。
情報セキュリティガバナンスは,達成されるべき事業の成果に基づいた情報セキュリティ投資戦略を確
立することによって短期的及び長期的な両方の事業と情報セキュリティの要求条件との間の調和をもたら
し,それによって利害関係者の現在及び将来のニーズを満たすことが望ましい。
組織の目的を支援する情報セキュリティ投資を最適化するために,経営陣は,情報セキュリティが,資
本及び運営支出,法令・規制の遵守並びにリスク報告のための既存の組織プロセスと統合することを確実
にすることが望ましい。
原則4 : 内部及び外部の要求事項との適合性を確実にする。
情報セキュリティガバナンスは,情報セキュリティの方針及び実践が,関連する強制力のある法令・規
制及び約束済みの事業若しくは契約の要求事項,並びにその他の外部又は内部の要求事項に適合すること
を確実にすることが望ましい。
――――― [JIS Q 27014 pdf 6] ―――――
5
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
適合性及び法令遵守の問題に対処するために,経営陣は,独立したセキュリティ監査を委託して,情報
セキュリティ活動が内部及び外部の要求事項を十分に満たしているという保証を取り付けることが望まし
い。
原則5 : セキュリティに積極的な環境を醸成する。
情報セキュリティガバナンスは,人間の行動に基づいて構築することが望ましく,これには全ての利害
関係者の変化するニーズが含まれる。なぜならば,人間の行動は,適切なレベルの情報セキュリティを支
持するための基本的な要素の一つであるからである。様々な利害関係者の目的,役割,責任及び資源間の
調和,調整などが不十分な場合は,これらが互いに摩擦を起こし,その結果,事業目的の達成に失敗する
ことになる。したがって,様々な利害関係者の間の調和及び方向性の一致が極めて重要である。
情報セキュリティに積極的な文化を確立するために,経営陣は,情報セキュリティに関する一貫した方
針を実現するよう利害関係者の活動の調和,調整などを要求し,推進し,支援することが望ましい。この
ことは,セキュリティの教育,訓練及び啓発プログラムの実施を促進することになる。
原則6 : 事業の結果に関するパフォーマンスをレビューする。
情報セキュリティガバナンスは,情報を保護するためにとられた取組みがその組織を支持する目的に合
っており,合意されたレベルの情報セキュリティを提供することを確実にすることが望ましい。セキュリ
ティのパフォーマンスは,現在及び将来の事業要件を満たすために要求されるレベルで維持することが望
ましい。
ガバナンスの観点から情報セキュリティのパフォーマンスをレビューするために,経営陣は,セキュリ
ティ管理策の有効性及び効率だけではなく,その事業への影響に関する情報セキュリティのパフォーマン
スを評価することが望ましい。これは,モニタリング,監査及び改善に関するパフォーマンス測定プログ
ラムの必須レビューを実施し,それによって情報セキュリティのパフォーマンスを事業のパフォーマンス
とリンクさせることによって行うことができる。
5.3 プロセス
5.3.1 概要
経営陣は,情報セキュリティを統治するために,“評価”,“指示”,“モニタ”及び“コミュニケーション”
の各プロセスを実行する。
さらに,“保証”プロセスによって,情報セキュリティガバナンス及び達成したレベルについての独立し
た客観的な意見が得られる。図2は,これらのプロセス間の関係を示している。
――――― [JIS Q 27014 pdf 7] ―――――
6
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
利害関係者
ステークホルダ 保 証
要求事項 報告 推奨
委託
コミュニケーション
経営陣
評 価
指示 モニタ
モニター
戦略、方針 提案 実績
業務執行幹部
(情報セキュリティマネジメント)
図2−情報セキュリティガバナンスモデルの実施
5.3.2 評価
“評価”とは,現在のプロセス及び予測される変化に基づくセキュリティ目的の現在及び予想される達
成度を考慮し,将来の戦略的目的の達成を最適化するために必要な調整を決定するガバナンスプロセスで
ある。
“評価”プロセスを実施するために,経営陣は,次のことを行うことが望ましい。
− 事業の取組みが情報セキュリティ問題を考慮することを確実にする。
− 情報セキュリティのパフォーマンス結果に対応し,必要な処置の優先順位を決めて開始する。
“評価”プロセスを可能にするために,業務執行幹部は,次のことを行うことが望ましい。
− 情報セキュリティが事業目的を十分にサポートし,支えることを確実にする。
− 重大な影響のある新規情報セキュリティプロジェクトを経営陣に付託する。
5.3.3 指示
“指示”は,経営陣が,実施する必要がある情報セキュリティの目的及び戦略についての指示を与える
ガバナンスプロセスである。“指示”には,資源供給レベルの変更,資源の配分,活動の優先順位付け並び
に,方針,適切なリスク受容及びリスクマネジメント計画の承認が含まれる。
“指示”プロセスを実施するために,経営陣は次のことを行うことが望ましい。
− その組織のリスク選好を決定する。
− 情報セキュリティの戦略及び方針を承認する。
− 適切な投資及び資源を配分する。
“指示”プロセスを可能にするために,業務執行幹部は次のことを行うことが望ましい。
− 情報セキュリティの戦略及び方針を策定して実施する。
− 情報セキュリティの目的を事業目的に合わせて調整する。
――――― [JIS Q 27014 pdf 8] ―――――
7
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
− 情報セキュリティに積極的な文化を推進する。
5.3.4 モニタ
“モニタ”は,経営陣が戦略的目的の達成を評価することを可能にするガバナンスプロセスである。
“モニタ”プロセスを実施するために,経営陣は次のことを行うことが望ましい。
− 情報セキュリティマネジメント活動の有効性を評価する。
− 内部及び外部の要求事項への適合性を確実にする。
− 変化する事業,法制度,規制の環境,及びそれらの情報リスクへの潜在的影響を考慮する。
“モニタ”プロセスを可能にするために,業務執行幹部は次のことを行うことが望ましい。
− 事業の観点から適切なパフォーマンス指標を選択する。
− 経営陣が以前に特定した措置の実施及びそれらの組織への影響を含む,情報セキュリティのパフォー
マンス成果についてのフィードバックを経営陣に提供する。
− 情報リスク及び情報セキュリティに影響する新規開発案件について,経営陣に注意を喚起する。
5.3.5 コミュニケーション
“コミュニケーション”は,経営陣及び利害関係者が,双方の特定のニーズに沿った情報セキュリティ
に関する情報を交換する双方向のガバナンスプロセスである。
“コミュニケーション”の方法の一つは,情報セキュリティの活動及び課題を利害関係者に説明する情
報セキュリティ報告書であり,その例を附属書A及び附属書Bに示す。
“コミュニケーション”プロセスを実施するために,経営陣は次のことを行うことが望ましい。
− 外部の利害関係者に,組織がその事業特性に見合った情報セキュリティのレベルを実践していること
を報告する。
− 業務執行幹部に,情報セキュリティ課題を特定した外部レビューの結果を通知し,是正処置を要請す
る。
− 情報セキュリティに関する規制上の義務,利害関係者の期待及び事業ニーズを認識する。
“コミュニケーション”プロセスを可能にするために,業務執行幹部は次のことを行うことが望ましい。
− 注意が必要な問題,また,できれば決定が必要な問題について,経営陣に助言する。
− 関連する利害関係者に,経営陣の方向性及び決定を支援するためにとるべき詳細な行動を指導する。
5.3.6 保証
“保証”は,経営陣が独立した客観的な監査,レビュー又は認証を委託するガバナンスプロセスである。
これは,望ましいレベルの情報セキュリティを達成するためのガバナンス活動の実行及び運営の遂行に関
連した目的及び処置を特定し,妥当性を検証する。
“保証”プロセスを実施するために,経営陣は次のことを行うことが望ましい。
− 情報セキュリティの望ましいレベルのための説明責任をどのように遵守しているかについて,独立し
た客観的な意見を委託する。
“保証”プロセスを可能にするために,業務執行幹部は次のことを行うことが望ましい。
− 経営陣から委託される監査,レビュー又は認証をサポートする。
――――― [JIS Q 27014 pdf 9] ―――――
8
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
附属書A
(参考)
情報セキュリティ報告書の例
組織は,情報セキュリティ報告書を作成し,それを情報セキュリティのためのコミュニケーションの道
具として利害関係者に開示することができる。
組織は,情報セキュリティ状況の報告書及び内容を選択して決定することが望ましい。表A.1は,基準
を満たしていることを示すために情報セキュリティ監査報告書を活用する例である。
表A.1−情報セキュリティ監査報告書
経営陣は,○年○月○日○年○月○日までの期間中に,経営陣のコントロールによって補完される
組織の運営手続及びシステムに関して,基準(例えば,ISO/IEC 27000規格群)に基づいた情報セキュ
リティのコントロール及び手続が,機密性,完全性及び可用性に関する規定された情報セキュリティコ
ントロールの目的が達成された旨を合理的に保証する上で十分有効に機能していることを確信してい
る。これを証明するために経営陣は,情報セキュリティの外部監査人としてのA社にその旨の言明書を
提示した。
A社は,経営陣の情報セキュリティのコントロールに関する言明を評価するために,取締役会から任
命された。その評価は,確立された基準に従って実施され,それにはサンプルテストを通じて情報セキ
ュリティのコントロール及び手続の設計及び運営の有効性を評価することが含まれていた。これに関し
て,A社は,自身によるテストの結果が,特定の例外事項はあるものの,基準(例えば,ISO/IEC 27000
規格群)で特定された管理基準に基づいて,コントロールが重要な点に関して有効であったことを示す
旨の保証型監査報告書を経営陣に発行した。
経営陣の言明書全体及び保証型監査報告書は,情報セキュリティのコントロールに関して特定された
例外事項とともに,監査委員会で議論されて,全ての取締役会メンバーに提示された。保証型監査報告
書は,利害関係者の要請に応じて,複写が提供される。
――――― [JIS Q 27014 pdf 10] ―――――
次のページ PDF 11
JIS Q 27014:2015の引用国際規格 ISO 一覧
- ISO/IEC 27014:2013(IDT)
JIS Q 27014:2015の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化