「ISO/IEC」と「JIS Q」
- ISO
- International Organization for Standardization(国際標準化機構)
- 国際的な標準規格を策定する機関
- IEC
- International Electrotechnical Commission(国際電気標準会議)
- 電気・電子分野の国際標準を策定する機関
- JIS Q
例:
* ISO/IEC 27001(ISMS要求事項)
* ISO/IEC 27002(管理策の実践規範)
ISO/IEC 15408(コモンクライテリア(CC))
JIS Q 27000 シリーズ
| 規格 |
内容 |
試験で問われる特徴 |
| JIS Q 27000 |
ISMS関連用語の定義 |
“用語の辞書” |
| JIS Q 27001 |
ISMSの要求事項(守る仕組み) |
PDCA・リスク対応 |
| JIS Q 27002 |
情報セキュリティ管理策(対策例) |
114管理策の例示 |
| JIS Q 27003 以降 |
導入、測定、監査などのガイド |
深くは問われにくい |
JIS Q 27000:2019(27000:2014)
- 情報セキュリティマネジメント(ISMS)関連規格の“用語集”
- 「:20xx」の部分の主な違いは「用語の整理・追加・削除」
頻出用語
-
ISMS(情報セキュリティマネジメントシステム)
- 組織が情報を守るための仕組み・しくみそのもの
- PDCAにより継続的に改善する
-
不適合(Nonconformity)
-
是正処置(Corrective Action)
-
継続的改善(Continual Improvement)
- ISMSは運用して終わりではなく、常に改善していくもの
- PDCAサイクルが必ずセットで問われる
-
リスク所有者
-
リスク基準
- リスクアセスメントの事前準備として、
リスクの評価基準と対応する値を決めておくこと
-
リスクファイナンシング
-
リスクレベル
- 情報資産の価値 × 脅威 × 脆弱性
- リスクの結果の大きさと起こりやすさを
組み合わせて表現されるリスクの大きさ
- **情報セキュリティの3つの特性(CIA)+ 拡張4要素 **
- 機密性(Confidentiality):許可された者だけが利用できる
- 完全性(Integrity):改ざん・破壊なく正確である
- 可用性(Availability):必要なときに利用できる
- 真正性:本物であることの証明(ID・パスワード認証)
- 信頼性:システムが正しく動く
- 責任追跡性:誰が何をしたか追える(ログ)
- 否認防止:やってないと言わせない(電子署名、タイムスタンプ)
-
サポートユーティリティ
- 電気・通信サービス・給水・ガス・下水・換気・空調などのこと
- その不具合による停電・故障から、装置を保護することが望まれるもの
JIS Q 27001:2014
- セキュリティ事故を防ぎ、事業継続を守る仕組みを作ることが目的
- ① 情報セキュリティ方針(基本方針、対策基準、実施手順)策定
- ② リスクアセスメント(6.1)
- ③ リスク対応を決定(6.1)
- ④ 適用宣言書(SoA)作成
- ⑤ 具体的な目標・計画に落とし込む(6.2)
6.1項(リスク対応)
| フェーズ |
内容 |
| Plan |
リスクアセスメント、方針策定、管理策選定 |
| Do |
管理策の実施、教育、運用 |
| Check |
監視、測定、内部監査、アセスメント |
| Act |
是正処置、改善 |
-
リスクアセスメント
-
リスク対応
- ① リスク回避:リスクが発生する活動をやめる
- ② リスク低減:発生確率・影響を下げる(対策を講じる)
- ③ リスク移転:他者に移す(保険・外注、リスク共有)
- ④ リスク保有:受け入れる(何もやらない、受容)
適用宣言書(SoA)
- リスク対応の結果、どの管理策を採用するかを整理して示した文書
- 附属書Aの管理策(114項目)が対象
6.2項(情報セキュリティ目的及びそれを達成するための計画)
- ① 実施事項(What)
- ② 必要な資源(Resources)
- ③ 責任者(Responsible person)
- ④ 達成期限(Deadline)
- ⑤ 結果の評価方法(Evaluation method)
情報セキュリティ管理基準
- ISO27002の実践指針を日本向けに整理したもの
- 機密性、完全性、可用性を維持向上を目的としている
- JIS Q 27001:2014(情報セキュリティマネジメントシステム-要求事項)、JIS Q 27002:2014(情報セキュリティ管理策の実施のための規範)との整合性を取っている
JIS Q 27014:2015
- 経営層が情報セキュリティをどのように統治(ガバナンス)するかを示した規格
- 情報セキュリティガバナンス
- 企業が情報資産のリスク管理のために、情報セキュリティの意識・取り組み・業務活動を徹底させるための仕組み
- ITガバナンス
- 企業が経営目標達成のために、ITを過不足なく活用すること
| 対象領域 |
ITガバナンス |
情報セキュリティガバナンス |
| 情報セキュリティ |
対象 |
対象 |
| 情報セキュリティ以外 |
対象 |
対象外 |
| IT |
対象 |
対象 |
| 非IT(ITでないもの) |
対象外 |
対象 |
※ITガバナンスと情報セキュリティガバナンスは、いずれもコーポレートガバナンスの枠組みに含まれる。
JIS Q 15001:2017
- 企業などの組織が、個人情報を適切に取り扱うための「管理の仕組み」を定めた規格
- プライバシーマーク(Pマーク)取得の基準
- ベースは個人情報保護法
-
要配慮個人情報
- 本人に不利益や差別が生じる可能性があるため、特に慎重な取扱いが必要な個人情報
- 人種、信条、病歴、犯罪歴など
JIS Q 31000:2010
- リスクマネジメントの国際規格(ISO 31000)を日本語化したもの
- あらゆる組織で使える「リスク管理の指針」
定義
- 残留リスク:リスク対応のあとで、保有リスクなどによって残ったリスク
