9
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
附属書B
(参考)
詳細な情報セキュリティ報告書の例
表B.1は,詳細な内容を開示する情報セキュリティ報告書の例である。例えば,ITビジネスなど自身の
セキュリティを強調することによって自らの評判を高めることを期待する組織には特に有用である。その
組織のセキュリティリスクに対する取組みの透明性及び適切な開示も,信頼性を高めるために効果的であ
る。これらの活動を通じて利害関係者の間で共通の認識を共有することができる。
表B.1−詳細な情報セキュリティ報告書
序論
− 適用範囲(戦略,方針,規格),対象領域(地理的単位又は組織単位),対象期間(月,四半期,6
か月又は1年)
全体的状況
− 満足,まだ満足ではない又は不満足
更新(適切かつ重要なときに)
− 情報セキュリティ戦略達成の進捗状況
完成した要素,進行中の要素又は計画された要素
− 情報セキュリティマネジメントシステム(ISMS)における変更
ISMS方針の改正,ISMSを実施する組織構造(責任の割当を含む。)
− 認証の進捗状況
ISMS認証(再認証),認証された情報セキュリティ監査
− 予算編成,スタッフ配置,訓練
財務状況,人数が十分であること,情報セキュリティの適格性評価
− その他の情報セキュリティ活動
事業継続性マネジメントの関与,啓発キャンペーン,内部又は外部監査支援
重要課題(ある場合)
− 情報セキュリティレビューの結果
提言項目,経営陣の対応,行動計画,目標日
− 重要な内部又は外部監査報告書に関する進捗状況
提言項目,経営陣の対応,行動計画,期限
− 情報セキュリティインシデント
推定される影響,行動計画,期限
− 関連法令・規制の遵守(不遵守)
推定される影響,行動計画,期限
――――― [JIS Q 27014 pdf 11] ―――――
10
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
表B.1−詳細な情報セキュリティ報告書(続き)
必要な決定(ある場合)
− 追加が必要な資源
情報セキュリティが事業の取組みを支援できるようにするため
――――― [JIS Q 27014 pdf 12] ―――――
11
Q 27014 : 2015 (ISO/IEC 27014 : 2013)
参考文献
[1] JIS Q 27002:2006 情報技術−セキュリティ技術−情報セキュリティマネジメントの実践のための規
範
注記 対応国際規格 : ISO/IEC 27002:2005,Information technology−Security techniques−Code of
practice for information security management(IDT)
[2] ISO/IEC 27005:2011,Information technology−Security techniques−Information security risk management
[3] ISO/IEC 38500:2008,Corporate governance of information technology
[4] ITU-T Recommendation X.1051 (2008) | ISO/IEC 27011:2008,Information technology−Security techniques
−Information security management guidelines for telecommunications organizations based on ISO/IEC 27002
[5] ITGI, Information Security Governance framework: 2009
[6] ISF, Standard of Good Practice for Information Security: 2011
JIS Q 27014:2015の引用国際規格 ISO 一覧
- ISO/IEC 27014:2013(IDT)
JIS Q 27014:2015の国際規格 ICS 分類一覧
- 35 : 情報技術.事務機械 > 35.040 : 文字セット及び符号化