ISO27001やさしい規格解釈:e-ISO.biz ゼロから構築する中小企業ISOのコンサルネット

ゼロから構築する中小企業ISOのコンサルネット
ISO27001(2013)やさしい規格要求事項の解釈

4.組織の状況

4.1 組織及びその状況の理解
組織の目的に関連し、情報セキュリティマネジメントシステム(以下ISMSという)の計画を達成することに影響する外部、内部の課題を決めなければならない。

注記:“課題の決定”とは、ISO31000:2009(リスクマネジメント-原則及び指針)の5.3に記載されている組織の外部状況、内部状況を確定すること。

【外部状況】
− 社会環境、文化、政治の影響、法律・規制、金融・経済環境、自然環境、競争関係
− 組織の目的に影響を与える原動力、傾向
− 外部の利害関係者との関係、認知、価値観

【内部状況】
− 統制、体制、役割、責任
− 方針、目的、戦略
− 資源、知識、能力
− 内部の利害関係者との関係、認知、価値観
− 組織文化
− 情報システム、情報の流れ、意思決定プロセス
− 組織の決め事
− 契約

4.2 利害関係者のニーズ及び期待の理解
組織は、次の事を決めなければならない。
a) ISMSの利害関係者
b) 利害関係者のISMSに関する要求事項

注記:利害関係者の要求事項は、法的及び規制の要求事項や契約上の義務を含めてもよい。

4.3 ISMSの適用範囲の決定
組織は、 ISMSの適用範囲を決めるために、その境界と適用の根拠を示さなければならない。

適用範囲を決める際、組織は、次の事を考慮しなければならない。
a) 4.1項の外部、内部の課題
b) 4.2項の要求事項
c) 組織の活動と他の組織の活動間の相互関係と依存関係

ISMSの適用範囲は、”文書化された情報”として利用可能になっていなければならない。

4.4 情報セキュリティマネジメントシステム
組織は、この国際規格の要求事項に従って、 ISMSを確立、実施、維持、及び、継続的に改善しなければならない。

5.リーダシップ

5.1 リーダシップ及び責務
トップマネジメントは、次に示す事によって、 ISMSに関するリーダシップと責務を実証しなければならない。
a)情報セキュリティ方針と情報セキュリティ目標を戦略的な方向性と矛盾なく確立する
b)ISMSの要求事項を組織の事業活動に統合する
c)ISMSに必要な資源を利用可能にする
d)ISMSが効果的であることISMSの要求事項に適合する重要性を伝える
e)ISMSが計画した成果を達成することを確実にする
f)ISMSの有効性に貢献するように、人を指揮して支援する
g)継続的改善を促進する
h)関連する管理層がその責任の下、リーダシップを発揮できるよう、その役割を支援する

5.2 方針
トップマネジメントは、次の事を満たした情報セキュリティ方針を制定しなければならない。
a)組織の目的に相応しい
b)情報セキュリティ目標(6.2参照)を含むか、目標を設定するための枠組みを示す。
c)情報セキュリティに関する要求事項を満たすことへの誓いを含む
d)ISMSの継続的改善への誓いを含む

情報セキュリティ方針は、次に示す事を満たさなければならない
e)”文書化された情報”として利用可能である
f)組織内に伝達する
g)利害関係者が必要に応じて入手できる

5.3 組織の役割、責任及び権限
トップマネジメントは、情報セキュリティの役割について、その責任・権限を割り当て、確実に伝えなければならない。

トップマネジメントは、次の役割について、責任・権限を割り当てなければならない。
a)ISMSが、この国際規格の要求事項に適合することを確実にする
b)ISMSの成果をトップマネジメントに報告する

注記:トップマネジメントは、ISMSの成果を組織内に報告する責任・権限を割り当ててもよい。

6.計画

6.1 リスク及び機会への取組み
6.1.1 一般
ISMSの計画を策定する際、組織は、 4.1項で特定した課題や4.2項で特定した要求事項を考慮し、次の事のために取り組むべきリスクと改善の機会を特定しなければならない。
a)ISMSが計画した効果を達成する
b)望ましくない影響を防止又は低減する
c)継続的改善を達成する

組織は、次の事への構想を練らなければならない。
d)これらのリスクと改善の機会に取り組むための活動
e)次の事を行う方法
 1)これらの活動をISMSの中に統合し、実施する
 2)これらの活動の有効性を評価する

6.1.2 ISMSリスクアセスメント
組織は、次のISMSリスクアセスメントの内容・手順を明確にし、適用しなければならない。
a)次の基準を含むISMSリスク基準を制定し、維持する手順
 1)リスクを受容する基準
 2)ISMSリスクをアセスメントするための基準
b)繰り返し行われるISMSリスクアセスメントが一貫性、妥当性を有し、比較可能な結果を生み出すことを確実にする手順
c)次の事を有するISMSリスクを特定する手順
 1)ISMSの適用範囲内の情報の、機密性、完全性、可用性の喪失に結びつくリスクを特定する
 2)ISMSリスクの所有者を特定する
d)次の事によってISMSリスクを分析するプロセス
 1)6.1.2 c)1)で特定されたリスクが顕在化した場合に起こり得る結果を検証する
 2)6.1.2 c)1)で特定されたリスクの現実的な起こりやすさを検証する
 3)リスク水準を決定する
e)次の事によってISMSリスクを評価する手順
 1)リスク分析の結果と6.1.2 a)で制定したリスク基準を比較する
 2)リスク対応のために、分析したリスクに優先順位をつける

組織は、ISMSリスクアセスメントの内容・手順を”文書化された情報”として保持しなければならない。

6.1.3 情報セキュリティリスク対応
組織は、次のISMSリスク対応手順を定め、適用しなければならない。
a)リスクアセスメントの結果を踏まえ、適切なリスク対応の選択肢を決める手順
b)決定したリスク対応の選択肢として必要な管理策を決める手順

注記:組織は、必要な管理策を立案するか、又は任意の情報源の中から管理策を特定することができる。

c)6.1.3 b)で決めた管理策を附属書Aに示す管理策と比較し、必要な管理策の見落しがないことを検証する手順

注記1: 附属書Aは、管理目的及び管理策の包括的なリストである。この国際規格の利用者は、必要な管理策を見落とさないために、附属書Aを参照することを意図している。
注記2 :管理目的は、選択した管理策に暗に含まれているものである。附属書Aに規定した管理目的及び管理策は、全てを網羅しているわけではないため、追加の管理目的、管理策が必要な場合もある。

d)適用宣言書を作成する手順。適用宣言書には、必要とした管理策〔6.1.3のb)及びc)参照〕、それらの管理策を必要とした理由、それらの管理策を実施しているか否か、附属書Aに規定する管理策を除外した理由の記載を含む
e)リスク対応計画を策定するプロセス
f)リスク対応計画、及び、残留しているリスクの受容について、 リスクの所有者の承認を得る手順

組織は、リスク対応の内容・手順を”文書化された情報”として保持しなければならない。

注記:この規格のISMSリスクアセスメント及びリスク対応の手順は、 ISO 31000に規定する原則及び一般的な指針と整合している。

6.2 情報セキュリティ目標及びそれを達成するための計画策定
組織は、関係する組織の機能や階層で、情報セキュリティ目標を定めなければならない。
情報セキュリティ目標は、次の事を満たさなければならない。
a)情報セキュリティ方針と一致している
b)測定可能である(但し、実行可能な場合)
c)適用可能なISMSの要求事項、リスクアセスメント及びリスク対応の結果を考慮している
d)適切に(必要に応じて)伝達する
e)適切に(必要に応じて)更新する

組織は、情報セキュリティ目標を”文書化された情報”として保持しなければならない。

組織は、情報セキュリティ目標の達成方法を計画する際、次の事を決めなければならない。
f) 実施すべき事
g) 必要な資源
h) 責任者
i) 達成期限
j) 結果の評価方法

7.支援

7.1 資源
組織は、 ISMSの確立、 実施、維持及び継続的改善に必要な資源を決定し、提供しなければならない。

7.2 力量
組織は、次の事を行わなければならない。
a)ISMSの成果に影響を与える業務を行う管理下の人に必要な力量を、決定する
b)教育、訓練、経験に基づいて、これらの人に力量が有ることを、確実にする
c)該当する場合には、必要な力量を身につけるための手段を講じ(注記)、その有効性を評価する
d)力量の証拠として適切なものを、”文書化された情報”として保持する

注記:講じる手段には、例えば、現在雇用している人々に対する教育訓練の提供、指導の実施、 配置転換の実施などがあり、また、力量を備えた人々の雇用、そうした人々との契約締結などもある

7.3 認識
組織の管理下で働く人々は、次の事に関して認識していなければならない。
a)情報セキュリティ方針
b)ISMSの成果によって得られる効果やISMSの有効性に対する自らの貢献
c)ISMSの要求事項に適合しないことが、どんな結果をもたらすか

7.4 コミュニケーション
組織は、次の事を含み、ISMSに関する内部、外部のコミュニケーションのために必要な事項を決めなければならない。
a)何を
b)いつ
c)だれと
d)だれが
e)実施する内容と手順

7.5 文書化された情報
7.5.1 一般
ISMSには、次の”文書化された情報”を含まなければならない。
a)この規格が要求する”文書化された情報”
b)ISMSの有効性のために必要であると組織が決定した、”文書化された情報”
注記:”文書化された情報”の程度は、次のような理由で、組織毎に異なる。
a)組織の規模、活動、プロセス、製品・サービスの種類
b)プロセス及びプロセス相互の複雑さ
c)人々が有する力量

7.5.2 作成及び更新
“文書化された情報”を作成及び、更新する際、組織は、次の事を確実にしなければならない。
a)適切な識別と記述(題目、 日付、作成者、参照番号等)
b)適切な書式(言語、ソフトウェアの版、図表)と媒体(紙、電子媒体等)
c)適切性と妥当性を、見直し、承認する

7.5.3 文書化された情報の管理
“文書化された情報”は、次の事を確実にするために、管理しなければならない。
a)“文書化された情報”が必要なときに、必要な場所で、適切に利用できる
b)“文書化された情報”が十分に保護されている(機密性の喪失、不適切な使用、完全'性の喪失からの保護等)
“文書化された情報”の管理のために、次の事を実施しなければならない(該当する場合)。
c)配付、アクセス、検索、利用
d)読み取れる状態に保つことを含む、保管と保護
e)変更の管理(版の管理等)
f)必要期間保持することと廃棄の基準

ISMSの計画及び運用時に欠くことの出来ない外部の”文書化された情報”は、適切なものを特定して、管理しなければならない。

注記:アクセスとは、”文書化された情報”の閲覧許可又は、閲覧及び変更の許可、権限に関する決定などを意味する。

8.運用

8.1 運用の計画及び管理
組織は、ISMSの要求事項を満たすため、及び6.1リスク及び機会への取り組みで決めた活動を行うために、必要なプロセスを計画し、実施し、管理しなければならない。また、6.2情報セキュリティ目標を達成するための計画も実施しなければならない。

組織は、プロセスが計画通りに実施されたことの確信を持つために、必要なものを”文書化された情報”として保持しなければならない。

組織は、計画した変更を管理し、予期せぬ変更の結果を検証し、必要に応じて、悪影響を軽減する処置をとらなければならない。

組織は、外部委託する手順を決定し、管理を確実にしなければならない。

8.2 ISMSリスクアセスメント
組織は、あらかじめ定められた間隔で、又は、重要な変更、若しくは重大な変化が生じた場合に、 6.1.2 リスクアセスメントのa)で制定した基準を考慮し、ISMSリスクアセスメントを実施しなければならない。

組織は、ISMSリスクアセスメント結果を”文書化された情報”として保持しなければならない。

8.3 ISMSティリスク対応
ISMSリスク対応計画を実施しなければならない。
リスク対応結果を”文書化された情報”として保持しなければならない

9.評 価

9.1 監視、測定、分析及び評価
組織は、ISMSの成果と有効性を評価しなければならない。

組織は、次の事を決めなければならない。
a)必要な監視・測定の対象を決定する。これには、ISMS全体と管理策を対象として含む
b)実施結果の効果を保証するための、監視、測定、分析、評価の方法を決定する。(該当する場合)

注記:方法は、正当な根拠となるよう、比較可能で再現可能な結果を生み出すことが望ましい
c)何時、監視・測定するのか
d)誰が、監視・測定するのか
e)何時、監視・測定結果の分析・評価をするのか
f) 誰が、監視・測定結果の分析・評価をするのか
組織は、監視・測定結果の証拠を”文書化された情報”として保持しなければならない。

9.2 内部監査
組織は、 ISMSが次の状況にあるか否かについて情報提供を行うために、あらかじめ定められた間隔で、内部監査を実施しなければならない。
a) 次の事に適合しているか否か
 1)ISMSについて、組織が認めた要求事項
 2)この国際規格の要求事項
b)有効に実施され、維持されているか否か

組織は、次に示す事を行わなければならない。
c) 頻度、方法、責任、計画に要求している事、報告を含む監査内容を計画し、確立し、実施し、維持しなければならない

監査内容は、監査対象となる業務の重要性及び前回までの監査結果を考慮しなければならない
d) 監査基準及び監査範囲を明確にする。
e) 監査内容の客観性及び公平性を確保した上で、監査員を選定し、監査を実施する
f) 監査結果を関連する管理層に報告する
g) 監査内容及び監査結果の証拠を”文書化された情報”として保持する

9.3 経営者による見直し
トップマネジメントは、ISMSが、適切で、妥当で、有効であることを継続するために、あらかじめ定められた間隔で、 ISMSを見直ししなければならない。

経営者による見直しでは、次の事を考慮しなければならない。
a)以前のの指示及び決定事項の実施状況確認
b)ISMSに関連する外部、内部の課題の変化
c)次の動向を含めた、ISMSの結果
 1)不適合及び是正処置
 2)監視及び測定の結果
 3)内部監査、外部審査の結果
 4)情報セキュリティ目標の達成状況
d)利害関係者からの情報
e)リスクアセスメント結果及びリスク対応計画の状況
f)継続的改善の機会

経営者による見直しでの支持、決定事項には、継続的改善の機会、及びISMSのあらゆる変更の必要性に関する決定を含めなければならない。

組織は、これらの結果を”文書化された情報”として保持しなければならない。

10.改善

10.1 不適合及び是正処置
不適合が生じた場合、次の事を行わなければならない。
a)不適合に対応し、次の事を行う(該当する場合)
  1)不適合を管理し、適合に直すための処置をとる
  2)不適合が起こした結果(影響)に対処する
b)不適合を再発又は、他で発生させないために、次の事によって、不適合の原因を除去する必要があるか、ないかを評価する
  1)不適合を検証する
  2)不適合の原因を解明する
  3)類似の不適合の存在、又はそれが発生する可能性を特定する
c)原因除去に必要な処置を取る
d)全ての是正処置について、有効性を検証する。
e)ISMSの変更を行う(必要な場合)

是正処置は、不適合によって引き起こされる影響に沿ったものでなければならない。

組織は、次に示す証拠として、”文書化された情報”を保持しなければならない。
f)不適合の内容とそれに続く一連の処置
g)是正処置の結果

10.2 継続的改善
組織は、 ISMSが適切で、妥当で、かつ有効であり続けるよう、継続的に改善しなければならない。

2015/10/11 15:37:e-iso.biz