JIS Q27002:2014 pdfダウンロード。情報技術−セキュリティ技術− 情報セキュリティ管理策の実践のための規範 Information technology-Security techniques- Code of practice for information security controls 1 適用範囲 この規格は,組織の情報セキュリティリスクの環境を考慮に入れた管理策の選定,実施及び管理を含む,組織の情報セキュリティ標準及び情報セキュリティマネジメントの実践のための規範について規定する。 この規格は,次の事項を意図する組織への適用を目的としている。 a) JIS Q 27001[10]に基づくISMSを実施するプロセスで,管理策を選定する。 b) 一般に受け入れられている情報セキュリティ管理策を実施する。 c) 固有の情報セキュリティマネジメントの指針を作成する。 注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 ISO/IEC 27002:2013,Information technology−Security techniques−Code of practice for information security controls(IDT) なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”ことを示す。 2 引用規格 次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。この引用規格は,その最新版(追補を含む。)を適用する。 JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語 注記 対応国際規格:ISO/IEC 27000,Information technology−Security techniques−Information security management systems−Overview and vocabulary(MOD) 3 用語及び定義 この規格で用いる主な用語及び定義は,JIS Q 27000による。 4 規格の構成 この規格は,情報セキュリティ管理策について,14の箇条で構成し,そこに,合計で35のカテゴリ及び114の管理策を規定している。 4.1 箇条の構成 管理策を定めた各箇条には,一つ以上のカテゴリがある。 この規格において,箇条の順序は,その重要度を示すものではない。状況に応じて,いずれかの箇条又は全ての箇条の管理策が重要となる可能性があり,このため,この規格を適用している組織は,適用できる管理策及びそれらの重要度を特定し,個々の業務プロセスへのそれぞれの適用を明確にすることが望ましい。 なお,この規格の全ての項目は,優先順に並んではいない。 4.2 管理策のカテゴリ 各管理策のカテゴリには,次の事項が含まれる。 a) 達成すべきことを記載した管理目的 b) 管理目的を達成するために適用できる一つ以上の管理策 管理策の記載は,次のように構成する。 管理策 管理目的を満たすための特定の管理策を規定する。 実施の手引 管理策を実施し,管理目的を満たすことを支持するためのより詳細な情報を提供する。手引は,必ずしも全ての状況において適していない又は十分でない可能性があり,組織の特定の管理策の要求事項を満たせない可能性がある。 関連情報 考慮が必要と思われる関連情報(法的な考慮事項,他の規格への参照など)を提供する。考慮が必要な更なる情報がない場合は,この部分は削除される。 5 情報セキュリティのための方針群 5.1 情報セキュリティのための経営陣の方向性 目的 情報セキュリティのための経営陣の方向性及び支持を,事業上の要求事項並びに関連する法令及び規制に従って提示するため。 5.1.1 情報セキュリティのための方針群 管理策 情報セキュリティのための方針群は,これを定義し,管理層が承認し,発行し,従業員及び関連する外部関係者に通知することが望ましい。