JIS Q27000:2014 pdfダウンロード。情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項 Information technology-Security techniques- Information security management systems-Requirements 1 適用範囲 この規格は,組織の状況の下で,ISMSを確立し,実施し,維持し,継続的に改善するための要求事項について規定する。この規格は,組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は,汎用的であり,形態,規模又は性質を問わず,全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には,箇条4〜箇条10に規定するいかなる要求事項の除外も認められない。 注記 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。 ISO/IEC 27001:2013,Information technology−Security techniques−Information security management systems−Requirements(IDT) なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1に基づき,“一致している”ことを示す。 2 引用規格 次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。この引用規格は,その最新版(追補を含む。)を適用する。 JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語 注記 対応国際規格:ISO/IEC 27000,Information technology−Security techniques−Information security management systems−Overview and vocabulary(MOD) 3 用語及び定義 この規格で用いる主な用語及び定義は,JIS Q 27000による。 4 組織の状況 4.1 組織及びその状況の理解 組織は,組織の目的に関連し,かつ,そのISMSの意図した成果を達成する組織の能力に影響を与える,外部及び内部の課題を決定しなければならない。 注記 これらの課題の決定とは,JIS Q 31000:2010[5]の5.3に記載されている組織の外部状況及び内部状況の確定のことをいう。 4.2 利害関係者のニーズ及び期待の理解 組織は,次の事項を決定しなければならない。 a) ISMSに関連する利害関係者 b) その利害関係者の,情報セキュリティに関連する要求事項 注記 利害関係者の要求事項には,法的及び規制の要求事項並びに契約上の義務を含めてもよい。 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 組織は,ISMSの適用範囲を定めるために,その境界及び適用可能性を決定しなければならない。 この適用範囲を決定するとき,組織は,次の事項を考慮しなければならない。 a) 4.1に規定する外部及び内部の課題 b) 4.2に規定する要求事項 c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係 ISMSの適用範囲は,文書化した情報として利用可能な状態にしておかなければならない。 4.4 情報セキュリティマネジメントシステム 組織は,この規格の要求事項に従って,ISMSを確立し,実施し,維持し,かつ,継続的に改善しなければならない。 5 リーダーシップ 5.1 リーダーシップ及びコミットメント トップマネジメントは,次に示す事項によって,ISMSに関するリーダーシップ及びコミットメントを実証しなければならない。 a) 情報セキュリティ方針及び情報セキュリティ目的を確立し,それらが組織の戦略的な方向性と両立することを確実にする。 b) 組織のプロセスへのISMS要求事項の統合を確実にする。 c) ISMSに必要な資源が利用可能であることを確実にする。 d) 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する。 e) ISMSがその意図した成果を達成することを確実にする。 f) ISMSの有効性に寄与するよう人々を指揮し,支援する。 g) 継続的改善を促進する。 h)...