一般財団法人日本情報経済社会推進協会

ナビゲーションをスキップ

EN

お問い合わせ

FAQ3:認証基準の解釈(ISMS)

※このFAQは、JIS Q 27001:2006に関するものです。

31.認証基準本文

管理策の適用除外:
Q3101.会社の規模や技術力の限界により適用困難などの理由で、管理策の一部を適用対象から外すことはできますか。

A.その理由で外すことはできません。管理策の一部を適用対象とするかは、その管理策を選択しなかった場合に生じるリスクを許容するか否かで決まります。そのリスクを許容するのであれば適用対象から外すことができます。
 逆に、それを許容しないのであれば、適用対象からはずすことはISMSとして適正にはなりません。管理策の一部を適用対象から外すことができるのは、それを適用する業務が存在しないなどの状況により組織のISMSに影響を与えない場合か、それによるリスクを組織が許容する場合です。

ISMS基本方針と情報セキュリティ基本方針との相違:
Q3102.JIS Q 27001の要求事項における”ISMS基本方針”と”情報セキュリティ基本方針”の違いは何ですか。4.2.1 b)の注記に「ISMS基本方針は、情報セキュリティ基本方針を包含する上位概念とする。」とありますが、両者の違いはどういうことですか。

A.「ISMS基本方針」は、組織の情報セキュリティマネジメントに対する基本的な考え方を示すものです。組織が取組む他のマネジメントシステムやリスクマネジメントを鑑み、情報セキュリティマネジメントがどのように位置づけられるのかを示すものです。特に、情報セキュリティに関する要求事項(事業上の、法令・規制による、契約上のセキュリティ要求事項など)に対する責任を果たすという意思表示の部位は重要となります。「ISMS基本方針」は、ISMSの適用範囲の大小に拠らず、組織全体の情報セキュリティに関する経営方針(ビジョン)や行動規範を示すことになります。
 一方、ISMS基本方針を受けて、具体的にどんな体制でどのように、情報セキュリティを向上させるかを定義づけるものが、「情報セキュリティ基本方針」です。適用範囲が組織全体に及ぶ場合、「ISMS基本方針」と「情報セキュリティ基本方針」は、同等のものと考えられます。このような場合、これらの方針を必ずしも物理的に2つの文書にする必要はありません。物理的にひとつの文書にISMS基本方針と情報セキュリティ基本方針を記載することは可能です。

適用範囲内に承認権限が存在しない:
Q3103.「適用範囲を全社単位ではなく一部組織とし、その組織の長を”経営陣”と見なす」場合、当該組織において、承認権限が適用範囲外の上位組織の長に有る場合、職務分掌を変えて承認権限を組織の長に委譲することを求められるのでしょうか。外部権限のままとし、それに関わるリスクを分析して対策を講じておけば、必ずしも承認権限を適用範囲内に委譲する必要はないのでしょうか。

A.ISMSの構築では、単に管理策の実装のみを要求しているのではなく、組織の情報セキュリティに関するマネジメントの確立を要求しているため、承認権限が適用範囲内に全く存在しないということは、マネジメントが確立されていないことと同様になり、適切な状態ではありません。
 必要に応じて、承認権限を委譲していただく、または、上位組織の一部または全部を適用範囲内に設置し、ISMSを確立することが重要です。上位組織の一部または全部を適用範囲内として設置することが、より効果的なISMSを構築できると思います。

管理策の有効性の測定方法:
Q3104.JIS Q 27001における「管理策の有効性の測定」に関して、

①管理策とは、附属書Aの管理策を指していますか。その場合、管理策単位に有効性を計る指標を定義する必要がありますか。違う場合は、どの単位で計ればよいのでしょうか。

A.管理策とは、附属書Aの「管理目的および管理策」から選択されたものおよび追加された管理策を指しています。これらの管理策は、適用宣言書に取りまとめる必要がある管理策です。有効性を図る指標は、4.2.2 d)において「選択した管理策又は一群の管理策の有効性・・・」と定義されているように、個々の管理策単位で測定する他、管理策をまとめて一群の管理策を単位として測定することもできます。「一群の管理策」の例としては、共通の管理目的を達成するための一群の管理策をグループとして、指標を作成することが考えられます。例えば、正しいパスワードの設定を達成するための指標として、「A.11.3.1 パスワードの利用」と、「A.11.5.3 パスワード管理システム」を同じグループとして測定することができます。

②有効性は、どういう観点で数値化すればよいのでしょうか。
A.有効性(effectiveness)は、「計画した活動が実行され、計画した結果が達成された程度」と定義することができます。このように定義付けした場合、管理策のa)実施度、b)達成度などを測定することにより、管理策の有効性を評価し、管理策の改善に向けた対応を実施することが可能となります。
 a) 実施度
実施度は管理策を実装し運用した結果、計画した管理策に対してどの程度実施されたかを測定したものを言います。この測定値は、管理策の実装・運用の妥当性(例示要)や未達の場合実装・運用で不足しているものを特定するために使用します。
 b) 達成度
達成度は計画した管理策を実施した結果、それに対して計画した管理目的が達成された程度(目的の達成度)を言います。この測定値は、セキュリティ管理策の実装・運用が、当初の当該管理策の目的や目標を達成するために有効に役割を果たしたかどうか評価し、有効でない場合は管理策の実装・運用の仕方を改善するために使用します。

情報セキュリティ目標とISMSの目的の相違:
Q3105.旧認証基準では”情報セキュリティ目標が設定され”となっていたのが、JIS Q 27001では”ISMSの目的が設定され”となっています。この目的と目標の違いは何ですか。

A.“objectives”の訳語を目標から目的に変えています。旧認証基準の原文書であるBS7799-Part2では“Information security objectives”と記述されていたのが、ISO/IEC27001では“ISMS objectives”と変更されました。この5章は、ISMSについて記述するものであるとしてISMSと変更されたものです。さらに、objectivesを目標から目的に変更したのは、「数値目標」を要求しているものではなく、「定性的な内容を含む」ことを明確にすることと、ISO/IEC 17799との訳語の整合性を図るために変更されました。本件は、JIS原案作成委員会においても審議された結果です。「objectives」については「control, business, security」等があるが、要求事項全体の訳語を統一した結果です。管理策の有効性を測定する時の「measurements」について目標を数値化することとの区別を明確にするためでもあります。

リスクを受容するための基準はルール、手順として良いか:
Q3106.JIS Q 27001では、”リスク受容基準及び受容可能なレベルを決める”となっています。この受容するための基準は”ルール、手順”と読み替えてよいですか。

A.リスク受容基準とは、the criteria of accepting risks の訳で、定めたリスクアセスメントの方法(数種類ある場合もある)において、リスクを受容可能と判断できるかを示す基準(クライテリア)のことを指し、いわゆる尺度の指針のことをいいます。これらは経営陣によって決定され明文化される必要があります。その上で、受容可能なレベルとは、その基準に従い、どの程度であれば受容できるのかというレベルを決めることになります。
 例えば、リスクが顕在化したときの受容基準として、想定される直接損害費を基準と定める方針であるとし、それらが100万円以上であれば、リスクを受容できないとするのであれば、リスク受容基準とは、想定直接損害費を用いることであり、受容可能なレベルとは100万円未満ということになります。このようなことに、留意していただけるのであれば、リスク受容基準をルールや手順と読み替えていただいても結構です。

情報セキュリティインシデント・事象と情報セキュリティ事件・事故の相違:
Q3107.”情報セキュリティインシデント”や”情報セキュリティ事象”と言った”インシデント”と”事象”という言葉が登場しますが、旧認証基準の”情報セキュリティ事件・事故”との違いは何ですか。

A.インシデントと事件・事故については、どちらも Incident の訳語で違いはありません。JIS Q 27002 にて訳語が事件・事故からインシデントに変更されたため、それを反映しました。一方、事象はインシデント(事件・事故)に変遷する前の段階を扱う言葉として追加されました。詳細は、ISO/IEC TR 18044 に記載されていますが、それの要約をISMSユーザーズガイド-JIS Q 27001:2006(ISO/IEC 27001:2005)対応- の「3.3 情報セキュリティ事象・情報セキュリティインシデントについて」の末尾に記載してありますので、そちらも参考にしてください。

セキュリティ計画の更新の内容:
Q3108.「4.2.3 g)監視及びレビューの活動から見出された事項を考慮に入れるために、セキュリティ計画を更新する。」の部分の説明で、セキュリティ計画とは一般的にはどの様な内容を求めているのですか。

A.セキュリティ計画とはリスク対応計画、是正計画、教育計画など、ISMS構築に関連する様々な計画の総称としてとらえられます。例えばISMSの監視及びレビューの活動から「職員の情報セキュリティに対する理解度が十分ではない」ということが見出されたとすれば、この場合のセキュリティ計画の更新には教育計画の見直しなどが含まれると考えられます。

リスクアセスメント計画の内容:
Q3109.「7.3 b)リスクアセスメント及びリスク対応計画の更新」の部分の説明では、リスクアセスメント及び対応の計画を見直すとのことでしたが、この計画とはどの様な内容を求めているのですか。

A.「7.2 レビューへのインプット」 e)項では「前回までのリスクアセスメントが十分に取り上げていなかったぜい弱性または脅威」とあります。よって7.3 b)の計画ではリスクを適切に管理するために「4.2 ISMSの確立および運営管理」 で実施したリスクアセスメントの内容がその後も有効であるか、見直すことが求められていると考えられます。リスクアセスメントを行い、対策を実施しても時間が経過すれば社会環境や技術環境も変わり新たなリスクや脅威が出てくる可能性があります。そのためにもリスクアセスメント及びリスク対応を見直し、既存の対応策に関するぜい弱性やリスクの度合いが変化している場合には新たな対策を立てて実施することは重要であると言えます。

ISMSの導入・運用/監視・レビュー:
Q3110.ISMSの導入及び運用/監視及びレビューについて ① 4.2.2 a) 「経営陣の適切な行動」とは、どのようなことを指すのでしょうか。

A.4.2.2 a)「 …この計画では、情報セキュリティリスクを運用管理するための、「経営陣の適切な活動」、経営資源、責任体制及び優先順位を特定する。」に記載されている 「経営陣の適切な活動」とは、ここでは特にリスク対応計画の確立を確実に実施するための活動などが考えられます。併記されている経営資源、責任体制及び優先順位を特定するための検討会、委員会等のフレームワーク策定などがこれにあたります。また、JIS Q 27001の要求事項である 5 経営陣の責任、7 ISMSのマネジメントレビュー等の項目も参照する必要があります。

② 4.2.2 b) 「特定した管理目的」とありますが、「管理目的」は附属書Aに「目的」として記載されているものと解釈してよいですか。また、附属書Aに記載されていない管理策を組織が独自で採用する場合は附属書Aとは別の「管理目的」を設定する必要がありますか。


A.はい。4.2.2 b) 「特定した管理目的」と記載されている「管理目的」は附属書Aの「目的」として記載されているものとして解釈されて結構です。なお、附属書Aに記載されていない管理策を組織が独自で採用する場合、それが附属書Aのいずれかの「管理目的(目的)」を実現するためであれば当該「管理目的(目的)」を利用し、異なる管理目的であるときには、別の管理目的を設定することになります。

③ 4.2.2 c) 「管理策を実施する」という記述がありますが、前項b)のリスク対応計画にも管理策の一部が含まれるように思われますが、b)の対象となっていない管理策も実施することを義務づけるための要求事項でしょうか。


A.いいえ、4.2.2 b)は、管理目的を実装するためのリスク対応計画に関連する活動であり、4.2.2 c)は、その管理目的を満たすために選択した管理策を実装するための活動です。重要なことは、リスク対応計画において、まず、そのプロセスと管理目的を確実に実装した上で、それらを満たす管理策を実装することです。本認証基準では、単なる管理策の実装自体を最重要視しているのではなく、統制のとれたプロセスや管理目的の実装を要求し、それらを満たすために選択された管理策の実装を要求しています。

④ 4.2.2 d) 「有効性をどのように測定するか」「測定をどのように利用するかを規定する」との記述がありますが、これはISMSの有効性を定量的に把握する方法を組織で考案し、セキュリティを向上させるためにその結果を活用するという解釈でよろしいでしょうか。


A.その通りです。「有効性を測定する方法」は、組織として考案するのみならず、規定し文書化することが要求されています。有効性測定結果は、マネジメントレビューのインプットに活用し、ISMSの有効性を継続的に改善することに役立ちます。

⑤ 4.2.2 f)の「運用を管理する」ことと4.2.3の「ISMSの監視」はどのように違うのでしょうか。「管理」の中に「監視」が含まれるように思います。


A.4.2.2 f)の「ISMSの運用を管理する」は、ISO/IEC27001に記載されている「Manage Operation of the ISMS」を訳したものです。ISMSの運用をマネージするわけですから、当然、監視に必要な管理策なども実装し、異常があった場合などは、速やかに修正するなどの活動を含みます。 一方、4.2.3の「ISMSの監視及びレビュー」は、このように運用を管理された管理策等が、期待どおりであるのかを監視する、またはレビューすることを要求しています。極言すると、4.2.2 f)は、実装した管理策などの運用を管理下におくことであり、4.2.3は、そもそも実装した管理策等が有効なのかというような視点から監視、レビューすることになります。

32.管理策

A.10.9 電子商取引サービス:
Q3201.管理策「A.10.9.1電子商取引」と「A.10.9.2オンライン取引」の違いはなんでしょうか。

A.管理策「A.10.9.1電子商取引」は、電子商取引の取引(契約)行為に焦点をあてたものであり、管理策「A.10.9.2オンライン取引」のそれは、トランザクション上のデータそのもの(通信)に注目した管理策と考えることができます。
 ISO/IEC27001(英文)では、前者はElectronic commerce、後者はOn-line transactionsとなっています。

A.12 情報システムの取得、開発および保守:
Q3202.「A.12.2業務用ソフトウェアでの正確な処理」として、「A.12.2.2内部処理の管理」とありますが、これは必須な項目ですか。必須であれば、どのような対応が必要になりますか。また、「A.12.3暗号による管理策」も必須な項目とされますか。

A.他の管理策と同様に、必須ではありません。

A.13.2.2 情報セキュリティインシデントからの学習:
Q3203.管理策A.13.2.2で「情報セキュリティインシデントの形態、規模および費用を定量化し(後略)」とありますが、定量化の具体的な内容についてご教示ください。

A.類型化された仕組みの記述に関連するものとしては、国際規格では、“ISO/IEC TR 18044:2004 provides advice and guidance on information security incident management for information security managers and for information system managers”が該当すると思われます。このTR 18044は、情報セキュリティ管理者や情報システム管理者に対して、情報セキュリティのインシデントマネジメントに関する助言と手引とを提供する規格です(なお、この規格は現在改訂中です)。
また、JPCERT/CC の CSIRTマテリアルもご参考になるかと思います。
※ CSIRT マテリアルは、組織的なインシデント対応体制である「組織内 CSIRT」の構築を支援する目的で作成されたものです。詳細は、こちらをご参照ください。

A.15.1.6 暗号化機能に対する規制:
Q3204.管理策「A.15.1.6暗号化機能に対する規制」について、具体的にはどのような法律が該当するのでしょうか。

A.附属書A15.1.6に対応するJIS Q 27002の箇条15.1.6の実施の手引には、次のような記述があります。
「関連する協定,法令及び規制を順守するため,次の事項を考慮することが望ましい。
 a) 暗号機能を実行するためのコンピュータのハードウェア及びソフトウェアの輸入及び/又は輸出に関する規制
 b) 暗号機能を追加するように設計されているコンピュータのハードウェア及びソフトウェアの輸入及び/又は輸出に関する規制
 c) 暗号利用に関する規制
 d) 内容の機密性を守るためにハードウェア又はソフトウェアによって暗号化された情報への,国の当局による強制的又は任意的アクセス方法」
 海外に関係する仕事をする場合、例えば、ノートパソコンに暗号化機能があるとき、海外へそのノートを持ち出し、海外で使う場合に、その持ち込んだ国が暗号について規制する法律を持っている場合に、法律に違反する場合があります。
 例えば、近隣の国で、中国は規制のある国のひとつです。
また、暗号化機能を持った製品などを輸出する場合には、その暗号が高度なものであれば、外国為替及び外国貿易法(昭和24年12月1日法律第228号,平成17年10月21日法律第102号改正)の規制の対象になります。詳細については、経済産業省安全保障貿易管理のWebサイトをご参照ください。
「輸出貿易管理令別表第1第9項(7) 暗号装置又はその部分品」に詳細の記載があります。