ＩＳＯ２７００１(2013年版）の要求事項（詳細）

ＩＳＯ２７００１(2013年版）の要求事項（詳細） – 仕組みで「努力」を形にできることに気づく場 

ＩＳＯ２７００１（２０１３年版）の要求事項（詳細）

箇条4.1組織及びその状況の理解

組織の目的に関連し、ISMSの意図を達成することに影響する、外部、内部の課題を決めなければならない。

注記：“課題の決定”とは、ISO31000:2009（リスクマネジメント-原則及び指針）の5.3に記載されている組織の外部状況、内部状況を確定すること。

 

箇条4.2利害関係者のニーズ及び期待の理解

組織は、次の事を決めなければならない。

a） ISMSの利害関係者

b） 利害関係者の情報セキュリティに関する要求事項

注記：利害関係者の要求事項は、法的及び規制の要求事項や契約上の義務を含めてもよい。

 

箇条4.3情報セキュリティマネジメントシステムの適用範囲の決定

組織は、 ISMSの適用範囲を決めるために、その境界と適用の根拠を示さなければならない。

適用範囲を決める際、組織は、次の事を考慮しなければならない。

a） 4.1項の外部、内部の課題

b） 4.2項の要求事項

c） 組織の活動と他の組織の活動間の、インタフェースと依存関係

ISMSの適用範囲は、”文書化された情報”として利用可能な状態になっていなければならない。

 

箇条4.4情報セキュリティマネジメントシステム

組織は、この国際規格の要求事項に従って、 ISMSを確立、実施、維持、及び、継続的に改善しなければならない。

箇条5

箇条5.1：

トップマネジメントは、次に示す事によって、 ISMSに関するリーダシップとコミットメントを実証しなければならない。

a）情報セキュリティ方針と情報セキュリティ目的を戦略的な方向性と矛盾なく確立する

b）ISMSの要求事項を組織のプロセスに統合する

c）ISMSに必要な資源を利用可能にする

d）情報セキュリティマネジメントが効果的であることISMSの数ある要求事項に適合する重要性を伝える

e）ISMSが意図した成果を達成することを確実にする

f） ISMSの有効性に貢献するように、人を指揮して支援する

g）継続的改善を促進する

h）関連する管理層がその責任の下、リーダシップを発揮できるよう管理層の役割を支援する

 

箇条5.2：

トップマネジメントは、次の事を満たした情報セキュリティ方針を制定しなければならない。

a）組織の目的に相応しい

b）情報セキュリティ目的（6.2参照）を含むか、又は情報セキュリティ目的を設定するための枠組みを示す

c）情報セキュリティに関する適用可能な要求事項を満たすことへのコミットメント（誓い）を含む

d）ISMSの継続的改善へのコミットメント（誓い）を含む

 

情報セキュリティ方針は、次に示す事を満たさなければならない

e）”文書化された情報”として利用可能である

f） 組織内に伝達する

g）利害関係者が必要に応じて入手できる

箇条5.3：

トップマネジメントは、情報セキュリティの役割について、その責任・権限を割り当て、確実に伝えなければならない。

トップマネジメントは、次の役割について、責任・権限を割り当てなければならない。

a） ISMSが、この国際規格の要求事項に適合することを確実にする

b） ISMSのパフォーマンスをトップマネジメントに報告する

注記：トップマネジメントは、ISMSのパフォーマンスを組織内に報告する責任・権限を割り当ててもよい

 

箇条６

箇条：6.1.1一般

ISMSの計画を策定する際、組織は、 4.1項で特定した課題や4.2項で特定した要求事項を考慮し、次の事のために取り組むべきリスクと改善の機会を特定しなければならない。

a） ISMSが意図した効果を達成する

b） 望ましくない影響を防止又は低減する

c） 継続的改善を達成する

組織は、次の事への構想を練らなければならない。

d） これらのリスクと改善の機会に取り組むための活動

e） 次の事を行う方法

1）これらの活動をISMSのプロセスの中に統合し、実施する

2）これらの活動の有効性を評価する

箇条6.1.2：

組織は、次の情報セキュリティリスクアセスメントのプロセスを明確にし、適用しなければならない。

a）次の基準を含む情報セキュリティリスク基準を制定し、維持するプロセス

1） リスクを受容する基準

2） 情報セキュリティリスクをアセスメントするための基準

b） 繰り返し行われる情報セキュリティリスクアセスメントが一貫性、妥当性を有し、比較可能な結果を生み出すことを確実にするプロセス

c）次の事を有する情報セキュリティリスクを特定するプロセス

1） ISMSの適用範囲内の情報の、機密性、完全性、可用性の喪失に結びつくリスクを特定する

2） リスクのオーナーを特定する

d）次の事によって情報セキュリティリスクを分析するプロセス

1） 6.1.2 c）1）で特定されたリスクが顕在化した場合に起こり得る結果をアセスメントする

2） 6.1.2 c）1）で特定されたリスクの現実的な起こりやすさをアセスメントする

3） リスクレベルを決定する

e）次の事によって情報セキュリティリスクを評価するプロセス

1） リスク分析の結果と6.1.2 a）で制定したリスク基準を比較する

2） リスク対応のために、分析したリスクに優先順位を付ける

組織は、情報セキュリティリスクアセスメントプロセスを”文書化された情報”として保持しなければならない。

 

箇条6.1.3：

組織は、次の情報セキュリティリスク対応プロセスを定め、適用しなければならない。

a） リスクアセスメントの結果を踏まえ、適切な情報セキュリティリスク対応の選択肢を決めるプロセス

b） 決定した情報セキュリティリスク対応の選択肢として必要な管理策を決めるプロセス

注記：組織は、必要な管理策を立案するか、又は任意の情報源の中から管理策を特定することができる。

c） 6.1.3 b）で決めた管理策を附属書Aに示す管理策と比較し、必要な管理策の見落しが無いことを検証する
プロセス

注記1： 附属書Aは、管理目的及び管理策の包括的なリストである。この国際規格の利用者は、必要な管理策を見落とさないために、附属書Aを参照することを意図している。

注記2 ：管理目的は、選択した管理策に暗に含まれているものである。附属書Aに規定した管理目的及び管理策は、全てを網羅しているわけではないため、追加の管理目的、管理策が必要な場合もある。

d） 適用宣言書を作成するプロセス。適用宣言書には、必要とした管理策〔6.1.3のb）及びc）参照〕、それらの管理策を必要とした理由、それらの管理策を実施しているか否か、附属書Aに規定する管理策を除外した理由の記載を含む

e） 情報セキュリティリスク対応計画を策定するプロセス

f） 情報セキュリティリスク対応計画、及び、残留している情報セキュリティリスクの受容について、 リスクのオーナーの承認を得るプロセス

組織は、情報セキュリティリスク対応のプロセスを”文書化された情報”として保持しなければならない。

注記：この規格の情報セキュリティリスクアセスメント及びリスク対応のプロセスは、 ISO 31000に規定する原則及び一般的な指針と整合している。

 

 

 

箇条6.2：

組織は、関係する組織の機能や階層で、情報セキュリティ目的を定めなければならない。

情報セキュリティ目的は、次の事を満たさなければならない。

a） 情報セキュリティ方針と一致している

b） 測定可能である（但し、実行可能な場合）

c） 適用可能な情報セキュリティの要求事項、リスクアセスメント及びリスク対応の結果を考慮している

d） 適切に（必要に応じて）伝達する

e） 適切に（必要に応じて）更新する

組織は、情報セキュリティ目的を”文書化された情報”として保持しなければならない。

組織は、情報セキュリティ目的の達成方法を計画する際、次の事を決めなければならない。

f） 実施すべき事

g） 必要な資源

h） 責任者

i） 達成期限

j） 結果の評価方法

 

 

箇条7支援

箇条7.1：資源

組織は、 ISMSの確立、 実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

箇条7.2：力量

組織は、次の事を行わなければならない。

a） 情報セキュリティパフォーマンスに影響を与える業務を行う管理下の人に必要な力量を、決定する

b） 教育、訓練、経験に基づいて、これらの人に力量が有ることを、確実にする

c） 該当する場合には、必要な力量を身につけるための手段を講じ^（注記）、その有効性を評価する

d） 力量の証拠として適切なものを、”文書化された情報”として保持する

注記：講じる手段には、例えば、現在雇用している人々に対する教育訓練の提供、指導の実施、 配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある.

箇条7.3認識:

組織の管理下で働く人々は、次の事に関して知覚していなければならない。

a） 情報セキュリティ方針

b） 情報セキュリティパフォーマンスの向上によって得られる効果やISMSの有効性に対する自らの貢献

c） ISMSの数ある要求事項に適合しないことが、何を意味するか

箇条7.4コミュニケーション：（働きやすい職場実現）

組織は、次の事を含み、ISMSに関する内部、外部のコミュニケーションのために必要な事項を決めなければならない。

a） 何をコミュニケーションするのか

b） 何時コミュニケーションするのか

c） 誰とコミュニケーションするのか

d） 誰がコミュニケーションするのか

e） コミュニケーションを実施するプロセス

 

箇条7.5文書化された情報：（組織・会社の守るべき情報資産の見える化）

箇条7.5.1一般：

ISMSには、次の”文書化された情報”を含まなければならない。

a） この規格が要求する”文書化された情報”

b） ISMSの有効性のために必要であると組織が決定した、”文書化された情報”

注記：”文書化された情報”の程度は、次のような理由で、組織毎に異なる。

a） 組織の規模、活動、プロセス、製品・サービスの種類

b） プロセス及びプロセス相互の複雑さ

c） 人々が有する力量

 

箇条7.5.2作成及び更新：

“文書化された情報”を作成及び、更新する際、組織は、次の事を確実にしなければならない。

a） 適切な識別と記述（タイトル、 日付、作成者、参照番号等）

b） 適切な書式（言語、ソフトウェアの版、図表）と媒体（紙、電子媒体等）

c） 適切性と妥当性を、レビューし、承認する

 

箇条7.5.3文書化された情報の管理：

“文書化された情報”は、次の事を確実にするために、管理しなければならない。

a） “文書化された情報”が必要なときに、必要な場所で、適切に利用できる

b） “文書化された情報”が十分に保護されている（機密性の喪失、不適切な使用、完全’性の喪失からの保護等）

“文書化された情報”の管理のために、次の事を実施しなければならない（該当する場合）。

c） 配付、アクセス、検索、利用

d） 読み取れる状態に保つことを含む、保管と保護

e） 変更の管理（版の管理等）

f） （必要期間）保持する事と廃棄

ISMSの計画及び運用時に欠くことの出来ない外部の”文書化された情報”は、適切なものを特定して、管理しなければならない。

注記：アクセスとは、”文書化された情報”の閲覧許可又は、閲覧及び変更の許可、権限に関する決定などを意味する。

 

 

箇条8運用

箇条8.1運用の計画及び管理：

組織は、情報セキュリティの要求事項を満たすため、及び6.1項で決めた活動を行うために、必要なプロセスを計画し、実施し、管理しなければならない。また、6.2項で決めた情報セキュリティ目的を達成するための計画も実施しなければならない。

組織は、プロセスが計画通りに実施されたことの確信を持つために、必要なものを”文書化された情報”として保持しなければならない。

組織は、計画した変更を管理し、予期せぬ変更の結果をレビューし、必要に応じて、負の影響を軽減する処置をとらなければならない。

組織は、外部委託するプロセスを決定し、管理を確実にしなければならない。

 

箇条8.2情報セキュリティリスクアセスメント：

組織は、あらかじめ定められた間隔で、又は、重要な変更、若しくは重大な変化が生じた場合に、 6.1.2 項のa）で制定した基準を考慮し、情報セキュリティリスクアセスメントを実施しなければならない。

組織は、情報セキュリティリスクアセスメント結果を”文書化された情報”として保持しなければならない。

 

箇条8.3情報セキュリティリスク対応：

情報セキュリティリスク対応計画を実施しなければならない。

情報セキュリティリスク対応結果を”文書化された情報”として保持しなければならない。

 

箇条9パフォーマンス評価

箇条9.1監視、測定、分析及び評価

組織は、情報セキュリティのパフォーマンスと、ISMSの有効性を評価しなければならない。

組織は、次の事を決めなければならない。

a） 必要な監視・測定の対象を決定する。これには、情報セキュリティプロセスと管理策を対象として含む

b） 実施結果の正当性（効果）を保証するための、監視、測定、分析、評価の方法を決定する。（該当する場合）

注記：方法は、正当な根拠となるよう、比較可能で再現可能な結果を生み出すことが望ましい

c） 何時、監視・測定するのか

d） 誰が、監視・測定するのか

e） 何時、監視・測定結果の分析・評価するのか
誰が、監視・測定結果の分析・評価するのか

組織は、監視・測定結果の証拠を”文書化された情報”として保持しなければならない。

箇条9.2内部監査

組織は、 ISMSが次の状況にあるか否かについて情報提供を行うために、あらかじめ定められた間隔で、内部監査を実施しなければならない。

a） 次の事に適合しているか否か

1） ISMSについて、組織が認めた要求事項

2） この国際規格の要求事項

b） 有効に実施され、維持されているか否か

組織は、次に示す事を行わなければならない。

c） 頻度、方法、責任、計画に要求している事、報告を含む監査プログラムを計画し、確立し、実施し、維持しなければならない
監査プログラムは、関連する（監査対象となる）プロセスの重要性及び前回までの監査結果を考慮しなければならない

d） 監査基準及び監査範囲を明確にする。

e） 監査プロセスの客観性及び公平性を確保した上で、監査員を選定し、監査を実施する

f） 監査結果を関連する管理層に報告する

g） 監査プログラム及び監査結果の証拠を”文書化された情報”として保持する

 

箇条9.3マネジメントレビュー：

トップマネジメントは、ISMSが、適切で、妥当で、且つ有効であることを継続するために、あらかじめ定められた間隔で、 ISMSをレビューしなければならない。

マネジメントレビューは、次の事を考慮しなければならない。

a） 以前のマネジメントレビューから引きずっている活動の状況

b） ISMSに関連する外部、内部の課題の変化

c） 次への動向を含めた、情報セキュリティパフォーマンスに関するフィードバック

1） 不適合及び是正処置

2） 監視及び測定の結果

3） 監査結果

4） 情報セキュリティ目的の達成

d） 利害関係者からのフィードバック

e） リスクアセスメント結果及びリスク対応計画の状況

f） 継続的改善の機会

マネジメントレビューからのアウトプットには、継続的改善の機会、及びISMSのあらゆる変更の必要性に関する決定を含めなければならない。

組織は、マネジメントレビュー結果を”文書化された情報”として保持しなければならない。

 

箇条10改善

箇条10.1不適合及び是正処置：

不適合が生じた場合、次の事を行わなければならない。

a） 不適合に対応し、次の事を行う（該当する場合）

1） 不適合を管理し、適合に直すための処置をとる

2） 不適合が起こした結果（影響）に対処する

b） 不適合を再発又は、他で発生させないために、次の事によって、不適合の原因を除去する必要が有るか／無いかを評価する

1） 不適合をレビューする

2） 不適合の原因を解明する

3） 類似の不適合の存在、又はそれが発生する可能性を特定する

c） 原因除去に必要な処置を取る

d） 全ての是正処置について、有効性をレビューする。

e） ISMSの変更を行う（必要な場合）

是正処置は、不適合によって引き起こされる影響に沿ったものでなければならない。

組織は、次に示す証拠として、”文書化された情報”を保持しなければならない。

f） 不適合の内容とそれに続く一連の処置

g） 是正処置の結果

 

箇条10.2継続的改善：

組織は、 ISMSが適切で、妥当で、且つ有効で有り続けるよう、継続的に改善しなければならない。

 

ＩＳＯ２７００１（2013年版）の要求事項（附属書Ａ）

附属書Ａ　管理目的及び管理策