JIS Q 27000シリーズ(ISMS関連)
・JIS Q 27000(情報セキュリティ管理システムの用語)
→ISMSのファミリー規格で用いられる用語や定義について規定している。
・JIS Q 27001(情報セキュリティ管理システムの要求事項)
→ ISMS(情報セキュリティマネジメントシステム)の国際標準。組織がセキュリティ管理を行うための基準。
<JIS Q 27001:2014(ISMSの要求事項)>
• これは ISO/IEC 27001:2013 に対応した日本語版。
• 2005年版(JIS Q 27001:2006)からの主な変更点
• PDCAサイクルの明示がなくなり、「Annex SL」に基づく構成に変更。
• リスク対応の選択肢が明確化(受容・回避・共有・低減)。
• 文書化要求の簡素化(管理策の適用宣言書の柔軟性向上)。
JIS Q 27001:2014では、トップマネジメントに対し、単に「セキュリティを考慮する」だけではなく、
・ 経営戦略に組み込む
・ 必要なリソースを確保する
・ 組織全体にセキュリティ意識を定着させる
といった 積極的な関与を求めています。
ポイントは「経営の一部としてISMSを機能させること」
「単なる方針決定者ではなく、組織全体のISMS推進の中心的な役割を担う」
<JIS Q 27002:2014(情報セキュリティ管理策の実践)>
• これは ISO/IEC 27002:2013 に対応した日本語版。
• 2005年版(JIS Q 27002:2006)からの主な変更点
• 管理策の統廃合(14の管理項目、35の管理目的、114の管理策に整理)。
• リスクアセスメントと管理策の関係が強化。
<JIS Q 27005:2014(情報セキュリティリスクマネジメント)>
• ISO/IEC 27005:2011 に対応。
• リスク分析の手法(定量・定性)が明確に定義される。
<JIS Q 27017:2016(クラウドサービスの情報セキュリティ管理)>
• クラウド向けのリスク管理策が追加。
<JIS Q 27018:2015(クラウド上の個人情報保護)>
• クラウド事業者が個人データを適切に扱うための指針。
JIS Q 27000:2019の主な内容
<適用範囲>
• ISMSに関連する用語と定義を提供
• ISO/IEC 27001 や 27002 などの情報セキュリティ規格の理解を助ける
<ISMSの基本概念>
• 情報セキュリティ(Information Security)
→ 機密性・完全性・可用性 を確保すること
• ISMS(Information Security Management System)
→ 組織が情報セキュリティを管理・改善するための仕組み
• リスク(Risk)
→ 情報資産が脅威や脆弱性により被害を受ける可能性
<情報セキュリティの3大要素>
• 機密性(Confidentiality):許可された者だけが情報にアクセスできる
• 完全性(Integrity):情報が正確で改ざんされていない
• 可用性(Availability):必要なときに情報を利用できる
<リスクマネジメント>
• リスクアセスメント(Risk Assessment):リスクの特定・分析・評価
• リスク対応(Risk Treatment):リスクを許容するか、低減・回避・移転するかを決定
<ISMSのPDCAサイクル>
• Plan(計画):情報セキュリティ方針・目標を決める
• Do(実行):リスク管理の実施、セキュリティ対策の導入
• Check(確認):内部監査や評価を実施
• Act(改善):問題点を修正し、継続的に改善
<継続的改善>
定義:
ISMSの有効性を向上させるために、計画的かつ継続的に見直しや改善を行うこと。
ポイント:
• PDCAサイクル(Plan → Do → Check → Act)を回すことで、ISMSの改善を続ける
• 内部監査 や マネジメントレビュー の結果をもとに改善点を見つける
• インシデントやリスク評価の結果 から対策を見直す
<修正>
定義:
すでに発生した問題や不適合に対して、短期的に影響を取り除くこと。
(根本的な解決ではなく、一時的な対応が含まれる)
ポイント:
• 発生した問題をすぐに修正し、業務への影響を最小限にする
• ただし、修正だけでは根本的な問題解決にはならない
<是正処置>
定義:
問題の根本原因を特定し、再発を防ぐために行う長期的な対策。
ポイント:
• 単なる「修正」とは異なり、根本原因を分析 して解決する
• なぜ問題が発生したのか? を考え、再発防止策を実施する(原因分析)
• 是正処置が有効であるかどうかを定期的に評価する
「JIS Q 27001:2014とJIS Q 27000:2019の違いは?」
JIS Q 27001:2014とJIS Q 27000:2019は、どちらも情報セキュリティマネジメントシステム(ISMS)に関する規格ですが、それぞれ目的や内容が異なります。
<JIS Q 27001:2014(ISMSの要求事項)>
➡ 情報セキュリティマネジメントシステム(ISMS)の「要求事項」を定めた規格
<主な特徴>
• ISMSのフレームワーク(計画、実施、運用、監視、見直し、維持及び改善)を規定
• 附属書Aとして「管理策」(114個)が定められている(JIS Q 27002に対応)
• PDCAサイクル(Plan-Do-Check-Act)の考え方に基づき、継続的改善を求める
• リスクアセスメントの実施を必須とし、情報セキュリティリスクを管理する仕組みを整備
• 適用宣言書(SOA: Statement of Applicability)を作成し、管理策の適用を示す必要がある
➡ 企業や組織がISMSを構築し、認証を取得するための具体的な基準を提供
<JIS Q 27000:2019(ISMSの用語と定義)>
➡ 情報セキュリティマネジメントに関する「用語や定義」を規定した規格
<主な特徴>
• ISMS関連規格(JIS Q 27001、JIS Q 27002など)で使用される 専門用語 や 概念 を統一
• 情報セキュリティ、サイバーセキュリティ、プライバシー保護に関する用語の定義を記載
• ISO/IEC 27000シリーズ全体の基盤となる規格であり、他の規格を理解するために重要
➡ ISMSに関する基本的な概念や用語を正しく理解するための指針を提供
<どちらが試験で重要か?>
JIS Q 27001:2014 は ISMSの認証基準 であり、試験では管理策やリスクマネジメントなどの内容が問われる可能性が高い
JIS Q 27000:2019 は 用語の理解に役立ち、他の規格を学ぶための基礎知識として出題されることもある
以下のものは出題されるかは不明だが余裕があれば覚えておく。↓
JIS Q 27002(情報セキュリティ管理の実践のための規範)
→ セキュリティ管理策の詳細を定めたガイドライン(アクセス制御、暗号化、運用管理など)。
JIS Q 27005(情報セキュリティリスクマネジメント)
→ リスクアセスメントの方法を解説。
JIS Q 27017(クラウドサービスの情報セキュリティ管理)
→ クラウドサービス向けのガイドライン。
JIS Q 27018(クラウドにおける個人情報保護)
→ クラウド上での個人情報の取り扱いに関する基準。
JIS Q 15001(個人情報保護マネジメントシステム:PMS)
→ プライバシーマーク(Pマーク)の取得基準にもなる規格。
JIS X 5080(ソフトウェアライフサイクルプロセス)
→ ソフトウェア開発のセキュリティを含む標準。
JIS Q 31000(リスクマネジメント)
→ 組織全体のリスク管理の枠組み。
JIS Q 20000(ITサービスマネジメント)
→ ITサービスの適正管理基準(ITILに関連)。
<JIS Q 27001:2023・JIS Q 27002:2023への改訂>
• 2022年にISO/IEC 27001、27002が更新され、日本でもJIS Q 27001:2023 / JIS Q 27002:2023 に改訂。
• 主な変更点
• 管理策が114個→93個に統合(AIやクラウドセキュリティに関する管理策が追加)。
• 4つのカテゴリ(組織、人、物理、技術)に整理。
情報セキュリティマネジメント試験での影響
試験範囲としては、新しいJIS Q 27001:2023 / JIS Q 27002:2023に基づく内容が出題される可能性が高い。
<JIS Q 27001:2023(情報セキュリティマネジメントシステム—要求事項)>
• 規格の目的:組織が情報セキュリティマネジメントシステム(ISMS)を確立し、実施し、維持し、継続的に改善するための要求事項を規定しています。 
• 附属書Aの管理策の変更:管理策の数が従来の114から93に削減され、14のカテゴリから「組織的管理策」「人的管理策」「物理的管理策」「技術的管理策」の4つのカテゴリに再編成されました。 
<JIS Q 27002:2024(情報セキュリティ管理策)>
• 規格の目的:JIS Q 27001に基づくISMSにおいて、情報セキュリティリスク対応の管理策を決定し、実施するための指針を提供します。 
• 管理策の更新:最新の脅威や技術動向を踏まえ、管理策が見直されました。
<試験対策として重要なポイント>
1. 規格の目的と適用範囲:各規格が何を目的としており、どのような組織や状況に適用されるかを理解することが重要です。
2. 管理策の分類と内容:特にJIS Q 27001の附属書AやJIS Q 27002で示されている管理策のカテゴリや具体的な内容を把握しておくことが求められます。
3. 規格の改訂点:最新の規格でどのような変更が行われたか、特に管理策の数や分類の変更点を確認しておくことが重要です。