JIS Q27000:2014 pdfダウンロード。情報技術−セキュリティ技術− 情報セキュリティマネジメントシステム−要求事項 Information technology-Security techniques- Information security management systems-Requirements 1 適用範囲 この規格は，組織の状況の下で，ISMSを確立し，実施し，維持し，継続的に改善するための要求事項について規定する。この規格は，組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は，汎用的であり，形態，規模又は性質を問わず，全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には，箇条4〜箇条10に規定するいかなる要求事項の除外も認められない。 注記 この規格の対応国際規格及びその対応の程度を表す記号を，次に示す。 ISO/IEC 27001:2013，Information technology−Security techniques−Information security management systems−Requirements（IDT） なお，対応の程度を表す記号“IDT”は，ISO/IEC Guide 21-1に基づき，“一致している”ことを示す。 2 引用規格 次に掲げる規格は，この規格に引用されることによって，この規格の規定の一部を構成する。この引用規格は，その最新版（追補を含む。）を適用する。 JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語 注記 対応国際規格：ISO/IEC 27000，Information technology−Security techniques−Information security management systems−Overview and vocabulary（MOD） 3 用語及び定義 この規格で用いる主な用語及び定義は，JIS Q 27000による。 4 組織の状況 4.1 組織及びその状況の理解 組織は，組織の目的に関連し，かつ，そのISMSの意図した成果を達成する組織の能力に影響を与える，外部及び内部の課題を決定しなければならない。 注記 これらの課題の決定とは，JIS Q 31000:2010[5]の5.3に記載されている組織の外部状況及び内部状況の確定のことをいう。 4.2 利害関係者のニーズ及び期待の理解 組織は，次の事項を決定しなければならない。 a) ISMSに関連する利害関係者 b) その利害関係者の，情報セキュリティに関連する要求事項 注記 利害関係者の要求事項には，法的及び規制の要求事項並びに契約上の義務を含めてもよい。 4.3 情報セキュリティマネジメントシステムの適用範囲の決定 組織は，ISMSの適用範囲を定めるために，その境界及び適用可能性を決定しなければならない。 この適用範囲を決定するとき，組織は，次の事項を考慮しなければならない。 a) 4.1に規定する外部及び内部の課題 b) 4.2に規定する要求事項 c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係 ISMSの適用範囲は，文書化した情報として利用可能な状態にしておかなければならない。 4.4 情報セキュリティマネジメントシステム 組織は，この規格の要求事項に従って，ISMSを確立し，実施し，維持し，かつ，継続的に改善しなければならない。 5 リーダーシップ 5.1 リーダーシップ及びコミットメント トップマネジメントは，次に示す事項によって，ISMSに関するリーダーシップ及びコミットメントを実証しなければならない。 a) 情報セキュリティ方針及び情報セキュリティ目的を確立し，それらが組織の戦略的な方向性と両立することを確実にする。 b) 組織のプロセスへのISMS要求事項の統合を確実にする。 c) ISMSに必要な資源が利用可能であることを確実にする。 d) 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する。 e) ISMSがその意図した成果を達成することを確実にする。 f) ISMSの有効性に寄与するよう人々を指揮し，支援する。 g) 継続的改善を促進する。 h)...

JIS Q27000:2019 pdfダウンロード。情報技術−セキュリティ技術−情報セキュリティ マネジメントシステム−用語 Information technology-Security techniques-Information security management systems-Overview and vocabulary 1 適用範囲 この規格は，ISMSファミリ規格で共通して用いている用語及び定義について規定する。この規格は，あらゆる形態及び規模の組織（例えば，営利企業，政府機関，非営利団体）に適用できる。 この規格で対象とする用語及び定義は，次のとおりである。 − ISMSファミリ規格で共通して用いている用語及び定義を対象とする。 − ISMSファミリ規格内で適用している全ての用語及び定義を対象としてはいない。 − ISMSファミリ規格において，新しい用語を定義することを制限するものではない。 注記1 対応国際規格では，ISMSの概要に関する記載も含めて規定しているが，JISでは，これに該当する箇条を削除したため，標題及び適用範囲からISMSの概要に関する記載を削除した。 注記2 この規格の対応国際規格及びその対応の程度を表す記号を，次に示す。 ISO/IEC 27000:2018，Information technology−Security techniques−Information security management systems−Overview and vocabulary（MOD） なお，対応の程度を表す記号“MOD”は，ISO/IEC Guide 21-1に基づき，“修正している”ことを示す。 2 引用規格 この規格に引用規格はない。 3 用語及び定義 ISO及びIECは，次のURLにおいて，標準化に用いる用語上データベースを維持する。 − ISO Online browsing platform：https://www.iso.org/obp − IEC Electropedia：https://www.electropedia.org/ 3.1 アクセス制御（access control） 資産へのアクセスが，事業上及びセキュリティ要求事項（3.56）に基づいて認可及び制限されることを確実にする手段。 3.2 攻撃（attack） 資産の破壊，暴露，改ざん，無効化，盗用，又は認可されていないアクセス若しくは使用の試み。 3.3 監査（audit） 監査基準が満たされている程度を判定するために，監査証拠を収集し，それを客観的に評価するための，体系的で，独立し，文書化したプロセス（3.54）。 注記1 監査は，内部監査（第一者）若しくは外部監査（第二者・第三者）のいずれでも，又は複合