JIS Q27014:2015 pdfダウンロード

JIS Q27014:2015 pdfダウンロード。情報技術−セキュリティ技術− 情報セキュリティガバナンス Information technology−Security techniques− Governance of information security
1 適用範囲
この規格は，情報セキュリティガバナンスについての概念及び原則に基づくガイダンスを示す。この規格を適用することによって，組織が情報セキュリティに関連した活動を評価，指示，モニタ及びコミュニケーションできるようになる。 この規格は，あらゆる業種及び規模の組織に適用できる。
注記 この規格の対応国際規格及びその対応の程度を表す記号を，次に示す。
ISO/IEC 27014:2013，Information technology−Security techniques−Governance of information security（IDT） なお，対応の程度を表す記号“IDT”は，ISO/IEC Guide 21-1に基づき，“一致している”ことを示す。
2 引用規格 次に掲げる規格は，この規格に引用されることによって，この規格の規定の一部を構成する。
これらの引用規格は，記載の年の版を適用し，その後の改正版（追補を含む。）は適用しない。
ISO/IEC 27000:2009，Information Technology−Security techniques−Information security management systems−Overview and vocabulary
3 用語及び定義
この規格で用いる主な用語及び定義は，ISO/IEC 27000:2009によるほか，次による。
3.1 業務執行幹部（executive management）
組織の目的を達成するための戦略及び方針を実施する責任を経営陣から委ねられた個人又はグループ。
注記1 業務執行幹部は，トップマネジメントの一部を形成する。役割を明確にするために，この規格では，トップマネジメントの中の二つの集団，すなわち，経営陣と業務執行幹部とを区別する。
注記2 業務執行幹部には，最高経営責任者（CEO），最高財務責任者（CFO），最高執行責任者（COO），最高情報責任者（CIO），最高情報セキュリティ責任者（CISO）及び同様の役職が含まれる。
3.2 経営陣（governing body） 組織のパフォーマンス及び適合性について説明責任を負う個人又はグループ。 注記 経営陣は，トップマネジメントの一部を形成する。役割を明確にするために，この規格では，トップマネジメントの中の二つの集団，すなわち，経営陣と業務執行幹部とを区別する。
3.3 情報セキュリティガバナンス（governance of information security） 組織の情報セキュリティ活動を指導し，管理するシステム。
3.4 利害関係者（stakeholder） 組織の活動に影響を与え，影響されることがある又は影響されると認知している，あらゆる人又は組織。
注記 意思決定者は，利害関係者であることがある。
4 概念
4.1 一般 情報セキュリティガバナンスは，情報セキュリティの目的及び戦略を，事業の目的及び戦略に合わせて調整する必要があり，法制度，規制及び契約を遵守する必要がある。また，情報セキュリティガバナンスは，内部統制システムによって支援されるリスクマネジメント手法を通じて，評価，分析及び実施することが望ましい。 経営陣は，組織の決定及びその組織のパフォーマンスについて，最終的な説明責任を負う。情報セキュリティに関する経営陣の主な重点事項は，その組織の情報セキュリティの姿勢が効率的であり，効果的であり，受入れ可能であり，かつ，利害関係者の期待を十分に配慮しながら，事業目的及び戦略に合ったものであることを確実にすることである。多様な利害関係者は，異なる価値観及び必要性をもちえる。
4.2 目的 情報セキュリティガバナンスの目的は，次による。
− 情報セキュリティの目的及び戦略を，事業の目的及び戦略に合わせる（戦略の整合）。
− 経営陣及び利害関係者に価値を提供する（価値の提供）。
− 情報リスクに対して適切に対処されていることを確実にする（説明責任）。
4.3 期待される結果 情報セキュリティガバナンスを有効に実施することから得られる望ましい結果には，次の事項を含む。
− 情報セキュリティの状況に関する経営陣の見通し
− 情報リスクに関する素早い意思決定
− 情報セキュリティへの効率的，効果的な投資
− 外部要件（法制度，規制又は契約）の遵守