JIS Q 27000、ISO/IEC 27000、JIS Q 27001、ISO/IEC 27001、JIS Q 27002、ISO/IEC 27002、JIS Q 27014、ISO/IEC 27014、JIS Q 27017、ISO/IEC 27017、 情報セキュリティマネジメント、情報セキュリティマネジメントシステム、ISMS、ISMS適合性認証制度、情報セキュリティ監査制度、情報セキュリティガバナンス、リスク、脆弱性、事象、機密性,完全性、可用性、真正性,責任追跡性,否認防止,信頼性, ISMSクラウドセキュリティ認証
リスクマネジメントの分野では、JIS Q 27000 と JIS Q 31000 は、整合性を持ち、双方での記述があります。ここでは、その分野を JIS Q 31000 にまとめています。
ISMS(Information Security Management System、情報セキュリティマネジメントシステム)とは、企業等の組織において、情報セキュリティ対策を、経営者がリーダーシップをもって、全社的・継続的な改善活動として取り込むことです。
JIS Q 27001(ISO/IEC 27001)は、ISMSを実施するための要求事項です。企業がが構築したISMSがJIS Q 27001に適合しているかを、専門的な認証機関がMS状況を審査し、審査に合格した組織を登録する制度をISMS適合性認証制度といいます(厳密には、JIS Q 27001適合性認証制度というべきでしょうが)。
ISMS適合性評価の審査申請をした組織に対して、セキュリティ関連文書による文書審査と、それが実践されていることを確認する実地審査を行い、合格したときには認定書を発行し、ISMS適合性マーク(右図)の使用が認められます。また、原則として3年ごとに更新審査を行い、その間に維持・改善が行われたことが求められます。
企業は、ISMS適合性マークを掲げることにより、自社の情報セキュリティ対策のレベルの高さを取引先などに示し、取引での安心・安全を与えることができます。
なお、ISMS適合性認証制度では、JIS Q 27001 要求事項のすべてを文字通り実現することを強制するものではありません。企業の特色や状況に合わせて取捨選択すること、部分的な変更をすること、規格以外でも重要事項は取り入れることなど、個々の企業に適切な内部規程を作成し実践するのが適切だとしています。
詳細:ISMS適合性認証制度
情報セキュリティ監査制度は、組織の情報セキュリティに関して監査を行い、保証と助言を行う制度です。これもほぼ JIS Q 27001に準拠してしています。ISMS適合性認証制度と似ていますが、次のような違いがあります。
ISMS適合性認証制度 情報セキュリティ監査制度
準拠規格 JIS Q 27001 同左
性格 審査・認証 監査・助言
機関 認証機関 指定なし
特典 認証書・マークの利用 特になし
有効期間 3年ごとの更新審査 規定なし
それで、ISMSを導入した当初の頃は、情報セキュリティ監査制度により助言を受けつつ成熟度を高め、ある程度の成熟度に達した段階で、ISMS適合性認証制度により認証を受けるようにするのが適切でしょう。
詳細:情報セキュリティ監査制度
JIS Q 27xxx は国際規格 ISO/IEC 27xxx を日本語化してJIS規格にしたものです。
このシリーズには40以上の規格がありますが、主なものを列挙します。
( https://kikakurui.com/q/Q27014-2015-01.html)
序文 1 適用範囲 2 引用規格 3 用語及び定義 4 概念 4.1 一般 4.2 目的 ★ 4.3 期待される結果 4.4 関係 ★ 5 原則及びプロセス 5.1 概要 5.2 原則 ★ 5.3 プロセス ★ 附属書A(参考)情報セキュリティ報告書の例 附属書B(参考)詳細な情報セキュリティ報告書の例 9 参考文献
以下、★の内容を列挙します。
情報セキュリティガバナンスとコーポレートガバナンス、ITガバナンスの関係です。
( https://kikakurui.com/q/Q27000-2014-01.html)
膨大な用語の中から、主なものを掲げます。
情報セキュリティ(information security)とは、
・情報の機密性,完全性及び可用性を維持すること
・さらに,真正性,責任追跡性,否認防止,信頼性などの特性を維持すること
注記 エンティティは,“実体”,“主体”などともいう。情報セキュリティの文脈においては,情報を使用する組織及び人,情報を扱う設備,ソフトウェア及び物理的媒体などを意味する。
リスクマネジメントの分野は、ISO 31000(JIS Q 31000):リスクマネジメントと整合性が図られています。また「××性」の詳細などについては、情報セキュリティの要件を参照してください。
( https://kikakurui.com/q/Q27001-2014-01.html)
0 序文 1 適用範囲 2 引用規格 3 用語及び定義 4 組織の状況 5 リーダーシップ 6 計画 7 支援 8 運用 9 パフォーマンス評価 10 改善 附属書 A (規定)管理目的及び管理策
「企業のISMSは、これらの状況になっていなければならない」事項を列挙したものです。ISMS適合性認証制度では、これらの要求事項が満たされているかを評価します。
例えば、次のような内容です。
( https://manualzilla.com/doc/6581873/iso27001内部監査チェックリスト(附属書a管理策))
附属書Aには、組織がかかえている情報セキュリティ上のリスクを軽減するための管理目的と、その管理目的を達成するための管理策が示されています。
管理策(control)とは、リスクを修正する対策。
注記 1 管理策には,リスクを修正するためのあらゆるプロセス,方針,仕掛け,実務及びその他の処置を含む。
注記 2 管理策が,常に意図又は想定した修正効果を発揮するとは限らない。
附属書Aの目次
A.5 情報セキュリティのための方針群
A.6 情報セキュリティのための組織
A.7 人的資源のセキュリティ
A.8 資産の管理
A.9 アクセス制御
A.10 暗号
A.11 物理的及び環境的セキュリティ
A.12 運用のセキュリティ
A.13 通信のセキュリティ
A.14 システムの取得、開発及び保守
A.15 供給者管理
A.16 情報セキュリティインシデント管理
A.17 事業継続マネジメントにおける情報セキュリティの側面
A.18 順守
構成
┌ 管理事項
│ ┌ 管理目的
│ │ ┌ 管理策
A.5.1.1
例
A.5 情報セキュリティのための方針群
A.5.1 情報セキュリティのための経営陣の方向性
目的:情報セキュリティのための経営陣の方向性及び支持を、
事業上の要求事項、関連する法令及び規制に従って、規定するため。
A.5.1.1 情報セキュリティのための方針群
管理策:情報セキュリティ基本方針文書は、経営陣によって承認されなければ
ならず、また、全従業員および関連する情報セキュリティのための方針群
は,これを定義し,管理層が承認し,発行し,従業員及び関連する外部関
係者に通知することが望ましい。
内部監査チェックリストでは、各小項目について、該当部門、コメント、有効性評価、総合評価結果の欄を加えた表にしています。
( https://kikakurui.com/q/Q27002-2014-01.html)
JIS Q 27001の附属書Aの構成と、管理目的と管理策をそのまま引き継ぎ、それぞれの管理策について実施の手引、注意事項などを示したものです。すなわち、「この規格に従って改善を進めていけば、認証を受けられるレベルのISMSが実現できる」ベストプラクティスを示したガイドブックだといえます。
例えば、次のようになっています。
(
https://www.jqa.jp/service_list/management/service/iso27017/
https://www.jipdec.or.jp/archives/publications/JIP-ISMS111-3.0_S1-10.pdf)
クラウドコンピューティング環境が急速に進んでいます。在宅勤務の普及により、社内システムの運用が変化しています。IoTの進展に伴い、多数のセンサーが⼯場や屋外の環境に設置され、それらが直接情報システムに接続されるようになってきました。AIの進展に伴い、情報システム操作の⼀部が自動化されてきました。このような変化に伴い、クラウドコンピューティング環境におけるセキュリティ対策がますます重要になっています。
ISMSクラウドセキュリティ認証(JIS Q 27017)は、JIS Q 27001 認証(ISMS 認証)の拡張規格です。
「クラウドコンピューティングには,その特性(例えば,ネットワーク,システムのスケーラビリティ及び弾⼒性,資源共有,セルフサービスプロビジョニング,オンデマンド管理,法域を超えたサービスの提供及び管理策の実施についての可視性が限られていること)に由来する,固有の,脅威及びぜい弱性を含むリスク源がある。」としています。
JIS Q 27001での具体的な対策(管理策)集である附属書A(JIS Q 27002)を基に、クラウドサービス固有の管理策や実施の手引きを追加した手引書の位置づけです。
本規格では、対象者を次のように区分しています。
クラウドサービスプロバイダ(クラウドサービス提供者)
クラウドサービスカスタマ(クラウドサービス利用者)
しかし、プロバイダには、IaaS、PaaS、SaaSの全サービスを提供している場合と、他の事業者のIaaS、PaaSを利用してSaaSをサービスしている場合もあります。また、カスタマには、クラウドサービスを利用した自社システムを構築して、エンドユーザにサービスを提供している場合もあります。このように、状況により両方の立場になることもあえいます。
クラウドセキュリティは、プロバイダとカスタマの双方の立場で個々の実施活動を改善するべきだとの観点から、個々の実施活動について、プロバイダとカスタマの実施手引を対にして掲げています。
クラウドサービスプロバイダの情報セキュリティ管理の対象は、クラウドサービスカスタマの情報セキュリティ対策のための情報提供や機能提供を含むものと規定されている。これに従い、クラウドサービスプロバイダは、リスクアセスメントの範囲にクラウドサービスカスタマとの関係を含めたリスク対応を検討することが必要である。」としています。