JIS Q 27001:2023 参考資料

概要

本ページでは、JIS Q 27001:2023（ISO/IEC 27001:2022） の規格書の序文および概要を参考資料として掲載しています。

この規格は、2022年に第3版として発行されたISO/IEC 27001を基に、技術的内容及び構成を変更することなく作成した日本産業規格です。

規格情報

項目	内容
規格番号	JIS Q 27001:2023
対応国際規格	ISO/IEC 27001:2022
規格名称（日本語）	情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項
規格名称（英語）	Information security, cybersecurity and privacy protection—Information security management systems—Requirements

0 序文

この規格は，2022年に第3版として発行されたISO/IEC 27001を基に，技術的内容及び構成を変更することなく作成した日本産業規格である。

なお，この規格で点線の下線を施してある参考事項は，対応国際規格にはない事項である。

0.1 概要

この規格は，情報セキュリティマネジメントシステム（以下，ISMSという。）を確立し，実施し，維持し，継続的に改善するための要求事項を提供するために作成された。ISMSの採用は，組織の戦略的決定である。組織のISMSの確立及び実施は，その組織のニーズ及び目的，セキュリティ要求事項，組織が用いているプロセス，並びに組織の規模及び構造によって影響を受ける。影響をもたらすこれらの要因全ては，時間とともに変化することが見込まれる。

ISMSは，リスクマネジメントプロセスを適用することによって，情報の機密性，完全性及び可用性を維持し，かつ，リスクを適切に管理しているという信頼を利害関係者に与える。

ISMSを，組織のプロセス及びマネジメント構造（management structure）全体の一部とし，かつ，その中に組み込むこと，並びにプロセス，情報システム及び管理策を設計する上で情報セキュリティを考慮することは，重要である。ISMSの導入は，その組織のニーズに合わせた規模で行うことが期待される。

この規格は，組織自体の情報セキュリティ要求事項を満たす組織の能力を，組織の内部で評価するためにも，また，外部関係者が評価するためにも用いることができる。

この規格で示す要求事項の順序は，重要性を反映するものでもなく，実施する順序を示すものでもない。本文中の細別符号［例えば，a)，b)，又は1)，2)］は，参照目的のためだけに付記されている。

ISO/IEC 27000は，ISMSファミリ規格（ISO/IEC 27003，ISO/IEC 27004及びISO/IEC 27005を含む。）を参照しながら，ISMSの概要について記載し，用語及び定義について規定している。

ISMSファミリ規格の用語及び定義については，JIS Q 27000が制定されている。

0.2 他のマネジメントシステム規格との両立性

この規格は，ISO/IEC 専門業務用指針第1部統合版 ISO 補足指針の附属書 SL に規定する上位構造（HLS），共通の細分箇条題名，共通テキスト並びに共通の用語及び中核となる定義を適用しており，附属書 SL を採用した他のマネジメントシステム規格との両立性が保たれている。

附属書 SL に規定するこの共通の取組は，二つ以上のマネジメントシステム規格の要求事項を満たす一つのマネジメントシステムを運用することを選択する組織にとって有用となる。

1 適用範囲

この規格は，組織の状況の下で，ISMSを確立し，実施し，維持し，継続的に改善するための要求事項について規定する。また，この規格は，組織のニーズに応じて調整した情報セキュリティのリスクアセスメント及びリスク対応を行うための要求事項についても規定する。この規格が規定する要求事項は，汎用的であり，形態，規模又は性質を問わず，全ての組織に適用できることを意図している。組織がこの規格への適合を宣言する場合には，箇条4～箇条10 に規定するいかなる要求事項の除外も認められない。

注記この規格の対応国際規格及びその対応の程度を表す記号を，次に示す。

ISO/IEC 27001:2022，Information security, cybersecurity and privacy protection－Information security management systems－Requirements（IDT）

なお，対応の程度を表す記号”IDT”は，ISO/IEC Guide 21-1 に基づき，“一致している”ことを示す。

2 引用規格

次に掲げる引用規格は，この規格に引用されることによって，その一部又は全部がこの規格の要求事項を構成している。この引用規格は，その最新版（追補を含む。）を適用する。

JIS Q 27000 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－用語

注記対応国際規格における引用規格：ISO/IEC 27000，Information technology－Security techniques－Information security management systems－Overview and vocabulary

3 用語及び定義

この規格で用いる主な用語及び定義は，JIS Q 27000による。

なお，ISO及びIECでは，標準化に使用するための用語のデータベースが次に公開されている。

ISO Online browsing platform: https://www.iso.org/obp/ui
IEC Electropedia: https://www.electropedia.org/

4 組織の状況

4.1 組織及びその状況の理解

組織は，組織の目的に関連し，かつ，そのISMSの意図した成果を達成する組織の能力に影響を与える，外部及び内部の課題を決定しなければならない。

注記これらの課題の決定とは，JIS Q 31000:2019 の 5.4.1 に記載されている組織の外部状況及び内部状況の確定のことをいう。

4.2 利害関係者のニーズ及び期待の理解

組織は，次の事項を決定しなければならない。

a) ISMSに関連する利害関係者
b) それらの利害関係者の，関連する要求事項
c) それらの要求事項のうち，ISMSを通して取り組むもの

注記利害関係者の要求事項には，法的及び規制の要求事項並びに契約上の義務を含める場合がある。

4.3 情報セキュリティマネジメントシステムの適用範囲の決定

組織は，ISMSの適用範囲を定めるために，その境界及び適用可能性を決定しなければならない。

この適用範囲を決定するとき，組織は，次の事項を考慮しなければならない。

a) 4.1 に規定する外部及び内部の課題
b) 4.2 に規定する要求事項
c) 組織が実施する活動と他の組織が実施する活動との間のインタフェース及び依存関係

ISMSの適用範囲は，文書化した情報として利用可能な状態にしなければならない。

4.4 情報セキュリティマネジメントシステム

組織は，この規格の要求事項に従って，必要なプロセス及びそれらの相互作用を含む，ISMSを確立し，実施し，維持し，かつ，継続的に改善しなければならない。

5 リーダーシップ

5.1 リーダーシップ及びコミットメント

トップマネジメントは，次に示す事項によって，ISMSに関するリーダーシップ及びコミットメントを実証しなければならない。

a) 情報セキュリティ方針及び情報セキュリティ目的を確立し，それらが組織の戦略的な方向性と両立することを確実にする。
b) 組織のプロセスへのISMS要求事項の統合を確実にする。
c) ISMSに必要な資源が利用可能であることを確実にする。
d) 有効な情報セキュリティマネジメント及びISMS要求事項への適合の重要性を伝達する。
e) ISMSがその意図した成果を達成することを確実にする。
f) ISMSの有効性に寄与するよう人々を指揮し，支援する。
g) 継続的改善を促進する。
h) その他の関連する管理層がその責任の領域においてリーダーシップを実証するよう，管理層の役割を支援する。

注記この規格で”事業”という場合，それは，組織の存在の目的の中核となる活動という広義の意味で解釈され得る。

5.2 方針

トップマネジメントは，次の事項を満たす情報セキュリティ方針を確立しなければならない。

a) 組織の目的に対して適切である。
b) 情報セキュリティ目的（6.2 参照）を含むか，又は情報セキュリティ目的の設定のための枠組みを示す。
c) 情報セキュリティに関連する適用される要求事項を満たすことへのコミットメントを含む。
d) ISMSの継続的改善へのコミットメントを含む。

情報セキュリティ方針は，次に示す事項を満たさなければならない。

e) 文書化した情報として利用可能である。
f) 組織内に伝達する。
g) 必要に応じて，利害関係者が入手可能である。

5.3 組織の役割，責任及び権限

トップマネジメントは，情報セキュリティに関連する役割に対して，責任及び権限が割り当てられ，組織内に伝達されることを確実にしなければならない。

トップマネジメントは，次の事項に対して，責任及び権限を割り当てなければならない。

a) ISMSが，この規格の要求事項に適合することを確実にする。
b) ISMSのパフォーマンスをトップマネジメントに報告する。

注記トップマネジメントは，ISMSのパフォーマンスを組織内に報告する責任及び権限を割り当てることも可能である。

6 計画策定

6.1 リスク及び機会に対処する活動

6.1.1 一般

ISMSの計画を策定するとき，組織は，4.1 に規定する課題及び 4.2 に規定する要求事項を考慮し，次の事項のために対処する必要があるリスク及び機会を決定しなければならない。

a) ISMSが，その意図した成果を達成できることを確実にする。
b) 望ましくない影響を防止又は低減する。
c) 継続的改善を達成する。

組織は，次の事項を計画しなければならない。

d) 上記によって決定したリスク及び機会に対処する活動
e) 次を行う方法
- 1. その活動のISMSプロセスへの統合及び実施
- 1. その活動の有効性の評価

6.1.2 情報セキュリティリスクアセスメント

組織は，次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め，適用しなければならない。

a) 次を含む情報セキュリティのリスク基準を確立し，維持する。
- 1. リスク受容基準
- 1. 情報セキュリティリスクアセスメントを実施するための基準
b) 繰り返し実施した情報セキュリティリスクアセスメントが，一貫性及び妥当性があり，かつ，比較可能な結果を生み出すことを確実にする。
c) 次によって情報セキュリティリスクを特定する。
- 1. ISMSの適用範囲内における情報の機密性，完全性及び可用性の喪失に伴うリスクを特定するために，情報セキュリティリスクアセスメントのプロセスを適用する。
- 1. これらのリスク所有者を特定する。
d) 次によって情報セキュリティリスクを分析する。
- 1. 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
- 1. 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
- 1. リスクレベルを決定する。
e) 次によって情報セキュリティリスクを評価する。
- 1. リスク分析の結果と 6.1.2 a) で確立したリスク基準とを比較する。
- 1. リスク対応のために，分析したリスクの優先順位付けを行う。

組織は，情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

6.1.3 情報セキュリティリスク対応

組織は，次の事項を行うために，情報セキュリティリスク対応のプロセスを定め，適用しなければならない。

a) リスクアセスメントの結果を考慮して，適切な情報セキュリティリスク対応の選択肢を選定する。
b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。

注記1 組織は，必要な管理策を設計するか，又は任意の情報源の中から管理策を特定することが可能である。

c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し，必要な管理策が見落とされていないことを検証する。

注記2 附属書A は，考えられる情報セキュリティ管理策のリストである。この規格の利用者は，必要な情報セキュリティ管理策の見落としがないことを確実にするために，附属書A を参照することが求められている。

注記3 附属書A に規定した情報セキュリティ管理策は，全てを網羅していない。必要な場合は，追加の情報セキュリティ管理策を含めることが可能である。

d) 次を含む適用宣言書を作成する。
- 必要な管理策［6.1.3 の b) 及び c) 参照］
- それらの管理策を含めた理由
- それらの必要な管理策を実施しているか否か
- 附属書A に規定する管理策を除外した理由
e) 情報セキュリティリスク対応計画を策定する。
f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について，リスク所有者の承認を得る。

組織は，情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。

注記4 この規格の情報セキュリティリスクアセスメント及びリスク対応のプロセスは，JIS Q 31000 に規定する原則及び一般的な指針と整合している。

6.2 情報セキュリティ目的及びそれを達成するための計画策定

組織は，関連する機能及び階層において，情報セキュリティ目的を確立しなければならない。

情報セキュリティ目的は，次の事項を満たさなければならない。

a) 情報セキュリティ方針と整合している。
b) （実行可能な場合）測定可能である。
c) 適用される情報セキュリティ要求事項，並びにリスクアセスメント及びリスク対応の結果を考慮に入れる。
d) これを監視する。
e) これを伝達する。
f) 必要に応じて，更新する。
g) 文書化した情報として利用可能な状態にする。

組織は，情報セキュリティ目的に関する文書化した情報を保持しなければならない。

組織は，情報セキュリティ目的をどのように達成するかについて計画するとき，次の事項を決定しなければならない。

h) 実施事項
i) 必要な資源
j) 責任者
k) 達成期限
l) 結果の評価方法

6.3 変更の計画策定

組織がISMSの変更の必要があると決定したとき，その変更は，計画的な方法で行わなければならない。

7 支援

7.1 資源

組織は，ISMSの確立，実施，維持及び継続的改善に必要な資源を決定し，提供しなければならない。

7.2 力量

組織は，次の事項を行わなければならない。

a) 組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下で行う人（又は人々）に必要な力量を決定する。
b) 適切な教育，訓練又は経験に基づいて，それらの人々が力量を備えていることを確実にする。
c) 該当する場合には，必ず，必要な力量を身に付けるための処置を講じ，講じた処置の有効性を評価する。
d) 力量の証拠として，適切な文書化した情報を保持する。

注記適用される処置には，例えば，現在雇用している人々に対する，教育訓練の提供，指導の実施，配置転換の実施などがあり，また，力量を備えた人々の雇用，そうした人々との契約締結なども含まれ得る。

7.3 認識

組織の管理下で働く人々は，次の事項に関して認識をもたなければならない。

a) 情報セキュリティ方針
b) 情報セキュリティパフォーマンスの向上によって得られる便益を含む，ISMSの有効性に対する自らの貢献
c) ISMS要求事項に適合しないことの意味

7.4 コミュニケーション

組織は，次の事項を含む，ISMSに関連する内部及び外部のコミュニケーションを実施する必要性を決定しなければならない。

a) コミュニケーションの内容
b) コミュニケーションの実施時期
c) コミュニケーションの対象者
d) コミュニケーションの方法

7.5 文書化した情報

7.5.1 一般

組織のISMSは，次の事項を含まなければならない。

a) この規格が要求する文書化した情報
b) ISMSの有効性のために必要であると組織が決定した，文書化した情報

注記 ISMSのための文書化した情報の程度は，次のような理由によって，それぞれの組織で異なる場合がある。

組織の規模，並びに活動，プロセス，製品及びサービスの種類

プロセス及びその相互作用の複雑さ

人々の力量

7.5.2 作成及び更新

文書化した情報を作成及び更新する際，組織は，次の事項を確実にしなければならない。

a) 適切な識別及び記述（例えば，タイトル，日付，作成者，参照番号）
b) 適切な形式（例えば，言語，ソフトウェアの版，図表）及び媒体（例えば，紙，電子媒体）
c) 適切性及び妥当性に関する，適切なレビュー及び承認

7.5.3 文書化した情報の管理

ISMS及びこの規格で要求されている文書化した情報は，次の事項を確実にするために，管理しなければならない。

a) 文書化した情報が，必要なときに，必要なところで，入手可能かつ利用に適した状態である。
b) 文書化した情報が十分に保護されている（例えば，機密性の喪失，不適切な使用又は完全性の喪失からの保護）。

文書化した情報の管理に当たって，組織は，該当する場合には，必ず，次の行動に取り組まなければならない。

c) 配付，アクセス，検索及び利用
d) 読みやすさが保たれることを含む，保管及び保存
e) 変更の管理（例えば，版の管理）
f) 保持及び廃棄

ISMSの計画策定及び運用のために組織が必要と決定した外部からの文書化した情報は，必要に応じて識別し，管理しなければならない。

注記アクセスとは，文書化した情報の閲覧だけの許可に関する決定，文書化した情報の閲覧及び変更の許可及び権限に関する決定，などを意味し得る。

8 運用

8.1 運用の計画策定及び管理

組織は，次に示す事項の実施によって，要求事項を満たすため，及び箇条6で決定した活動を実施するために必要なプロセスを計画し，実施し，かつ，管理しなければならない。

プロセスに関する基準の設定
その基準に従った，プロセスの管理の実施

組織は，プロセスが計画どおりに実施されたという確信をもつために必要とされる，文書化した情報を利用可能な状態にしなければならない。

組織は，計画した変更を管理し，意図しない変更によって生じた結果をレビューし，必要に応じて，有害な影響を軽減する処置を講じなければならない。

組織は，ISMSに関連する，外部から提供されるプロセス，製品又はサービスが管理されていることを確実にしなければならない。

8.2 情報セキュリティリスクアセスメント

組織は，あらかじめ定めた間隔で，又は重大な変更が提案されたか若しくは重大な変化が生じた場合に，6.1.2 a) で確立した基準を考慮して，情報セキュリティリスクアセスメントを実施しなければならない。

組織は，情報セキュリティリスクアセスメント結果の文書化した情報を保持しなければならない。

8.3 情報セキュリティリスク対応

組織は，情報セキュリティリスク対応計画を実施しなければならない。

組織は，情報セキュリティリスク対応結果の文書化した情報を保持しなければならない。

9 パフォーマンス評価

9.1 監視，測定，分析及び評価

組織は，次の事項を決定しなければならない。

a) 監視及び測定が必要な対象。これには，情報セキュリティプロセス及び管理策を含む。
b) 該当する場合には，必ず，妥当な結果を確実にするための，監視，測定，分析及び評価の方法。選定した方法は，妥当と考えられる，比較可能で再現可能な結果を生み出すことが望ましい。
c) 監視及び測定の実施時期
d) 監視及び測定の実施者
e) 監視及び測定の結果の，分析及び評価の時期
f) 監視及び測定の結果の，分析及び評価の実施者

組織は，この結果の証拠として，文書化した情報を利用可能な状態にしなければならない。

組織は，情報セキュリティパフォーマンス及びISMSの有効性を評価しなければならない。

9.2 内部監査

9.2.1 一般

組織は，ISMSが次の状況にあるか否かに関する情報を提供するために，あらかじめ定めた間隔で内部監査を実施しなければならない。

a) 次の事項に適合している。
- 1. ISMSに関して，組織自体が規定した要求事項
- 1. この規格の要求事項
b) 有効に実施され，維持されている。

9.2.2 内部監査プログラム

組織は，監査プログラムを計画し，確立し，実施し，維持しなければならない。これには，その頻度，方法，責任，計画策定の要求事項及び報告を含める。

それ（ら）の内部監査プログラムを確立するとき，組織は，関連するプロセスの重要性及び前回までの監査の結果を考慮しなければならない。

組織は，次に示す事項を行わなければならない。

a) 各監査について，監査基準及び監査範囲を明確にする。
b) 監査プロセスの客観性及び公平性を確保するために，監査員を選定し，監査を実施する。
c) 監査の結果を関連する管理層に報告することを確実にする。

組織は，監査プログラムの実施及び監査結果の証拠として，文書化した情報を利用可能な状態にしなければならない。

9.3 マネジメントレビュー

9.3.1 一般

トップマネジメントは，組織のISMSが，引き続き，適切，妥当かつ有効であることを確実にするために，あらかじめ定めた間隔で，ISMSをレビューしなければならない。

9.3.2 マネジメントレビューへのインプット

マネジメントレビューは，次の事項を考慮しなければならない。

a) 前回までのマネジメントレビューの結果講じた処置の状況
b) ISMSに関連する外部及び内部の課題の変化
c) ISMSに関連する利害関係者のニーズ及び期待の変化
d) 次に示す傾向を含めた，情報セキュリティパフォーマンスに関するフィードバック
- 1. 不適合及び是正処置
- 1. 監視及び測定の結果
- 1. 監査結果
- 1. 情報セキュリティ目的の達成
e) 利害関係者からのフィードバック
f) リスクアセスメントの結果及びリスク対応計画の状況
g) 継続的改善の機会

9.3.3 マネジメントレビューの結果

マネジメントレビューの結果には，継続的改善の機会，及びISMSのあらゆる変更の必要性に関する決定を含めなければならない。

組織は，マネジメントレビューの結果の証拠として，文書化した情報を利用可能な状態にしなければならない。

10 改善

10.1 継続的改善

組織は，ISMSの適切性，妥当性及び有効性を継続的に改善しなければならない。

10.2 不適合及び是正処置

不適合が発生した場合，組織は，次の事項を行わなければならない。

a) その不適合に対処し，該当する場合には，必ず，次の事項を行う。
- 1. その不適合を管理し，修正するための処置を講じる。
- 1. その不適合によって起こった結果に対処する。
b) その不適合が再発又は他のところで発生しないようにするため，次の事項によって，その不適合の原因を除去するための処置を講じる必要性を評価する。
- 1. その不適合をレビューする。
- 1. その不適合の原因を明確にする。
- 1. 類似の不適合の有無，又はそれが発生する可能性を明確にする。
c) 必要な処置を実施する。
d) 講じた全ての是正処置の有効性をレビューする。
e) 必要な場合には，ISMSの変更を行う。

是正処置は，検出された不適合のもつ影響に応じたものでなければならない。

組織は，次に示す事項の証拠として，文書化した情報を利用可能な状態にしなければならない。

f) 不適合の性質及びそれに対して講じたあらゆる処置
g) 是正処置の結果

附属書A（規定）情報セキュリティ管理策

表 A.1 に規定した情報セキュリティ管理策は，ISO/IEC 27002:2022[1]の箇条5～箇条8に規定したものをそのまま取り入れており，両者の整合が保たれている。また，これらの情報セキュリティ管理策は，この規格の6.1.3において用いなければならない。

注記 ISO/IEC 27002:2022に対応するようJIS Q 27002:2014（情報技術－セキュリティ技術－情報セキュリティ管理策の実践のための規範）を改正予定。

表 A.1－情報セキュリティ管理策

5 組織的管理策

番号	管理策名	管理策
5.1	情報セキュリティのための方針群	情報セキュリティ方針及びトピック固有の方針は，これを定義し，管理層が承認し，発行し，関連する要員及び関連する利害関係者に伝達し，認識させ，あらかじめ定めた間隔で，及び重大な変化が発生した場合にレビューしなければならない。注記：組織は，これらのトピック固有の方針に，標準，規則，方針又はその他の名称を付けることがある。
5.2	情報セキュリティの役割及び責任	情報セキュリティの役割及び責任は，組織のニーズに従って定め，割り当てなければならない。
5.3	職務の分離	相反する職務及び相反する責任範囲は，分離しなければならない。
5.4	管理層の責任	管理層は，組織の確立された情報セキュリティ方針，トピック固有の方針及び手順に従った情報セキュリティの適用を，全ての要員に要求しなければならない。
5.5	関係当局との連絡	組織は，関係当局との連絡体制を確立し，維持しなければならない。
5.6	専門組織との連絡	組織は，情報セキュリティに関する研究会又は会議，及び情報セキュリティの専門家による協会・団体との連絡体制を確立し，維持しなければならない。
5.7	脅威インテリジェンス	情報セキュリティの脅威に関連する情報を収集及び分析し，脅威インテリジェンスを構築しなければならない。
5.8	プロジェクトマネジメントにおける情報セキュリティ	情報セキュリティをプロジェクトマネジメントに組み入れなければならない。
5.9	情報及びその他の関連資産の目録	情報及びその他の関連資産の目録を，それぞれの管理責任者を含めて作成し，維持しなければならない。
5.10	情報及びその他の関連資産の許容される利用	情報及びその他の関連資産の許容される利用に関する規則及び取扱手順は，明確にし，文書化し，実施しなければならない。
5.11	資産の返却	要員及び必要に応じてその他の利害関係者は，雇用，契約又は合意の変更又は終了時に，自らが所持する組織の資産の全てを返却しなければならない。
5.12	情報の分類	情報は，機密性，完全性，可用性及び関連する利害関係者の要求事項に基づく組織の情報セキュリティのニーズに従って，分類しなければならない。
5.13	情報のラベル付け	情報のラベル付けに関する適切な一連の手順は，組織が採用した情報分類体系に従って策定し，実施しなければならない。
5.14	情報の転送	情報の転送の規則，手順又は合意を，組織内及び組織と他の関係者との間の全ての種類の転送手段に関して備えなければならない。
5.15	アクセス制御	情報及びその他の関連資産への物理的及び論理的アクセスを制御するための規則を，事業上及び情報セキュリティの要求事項に基づいて確立し，実施しなければならない。
5.16	識別情報の管理	識別情報のライフサイクル全体を管理しなければならない。
5.17	認証情報	認証情報の割当て及び管理は，認証情報の適切な取扱いについて要員に助言することを含む管理プロセスによって管理しなければならない。
5.18	アクセス権	情報及びその他の関連資産へのアクセス権は，組織のアクセス制御に関するトピック固有の方針及び規則に従って，提供，レビュー，変更及び削除しなければならない。
5.19	供給者関係における情報セキュリティ	供給者の製品又はサービスの利用に関連する情報セキュリティリスクを管理するためのプロセス及び手順を定め，実施しなければならない。
5.20	供給者との合意における情報セキュリティの取扱い	供給者関係の種類に応じて，関連する情報セキュリティ要求事項を確立し，各供給者と合意しなければならない。
5.21	情報通信技術（ICT）サプライチェーンにおける情報セキュリティの管理	ICT製品及びサービスのサプライチェーンに関連する情報セキュリティリスクを管理するためのプロセス及び手順を定め，実施しなければならない。
5.22	供給者のサービス提供の監視，レビュー及び変更管理	組織は，供給者の情報セキュリティの活動及びサービス提供を定常的に監視し，レビューし，評価し，変更を管理しなければならない。
5.23	クラウドサービスの利用における情報セキュリティ	クラウドサービスの調達，利用，管理及び利用終了のプロセスを，組織の情報セキュリティ要求事項に従って確立しなければならない。
5.24	情報セキュリティインシデント管理の計画策定及び準備	組織は，情報セキュリティインシデント管理のプロセス，役割及び責任を定め，確立し，伝達することによって，情報セキュリティインシデント管理を計画し，準備しなければならない。
5.25	情報セキュリティ事象の評価及び決定	組織は，情報セキュリティ事象を評価し，それらを情報セキュリティインシデントに分類するか否かを決定しなければならない。
5.26	情報セキュリティインシデントへの対応	情報セキュリティインシデントは，文書化した手順に従って対応しなければならない。
5.27	情報セキュリティインシデントからの学習	情報セキュリティインシデントから得られた知識は，情報セキュリティ管理策を強化し，改善するために用いなければならない。
5.28	証拠の収集	組織は，情報セキュリティ事象に関連する証拠の特定，収集，取得及び保存のための手順を確立し，実施しなければならない。
5.29	事業の中断・阻害時の情報セキュリティ	組織は，事業の中断・阻害時に情報セキュリティを適切なレベルに維持する方法を計画しなければならない。
5.30	事業継続のためのICTの備え	事業継続の目的及びICT継続の要求事項に基づいて，ICTの備えを計画し，実施し，維持し，試験しなければならない。
5.31	法令，規制及び契約上の要求事項	情報セキュリティに関連する法令，規制及び契約上の要求事項，並びにこれらの要求事項を満たすための組織の取組を特定し，文書化し，また，最新に保たなければならない。
5.32	知的財産権	組織は，知的財産権を保護するための適切な手順を実施しなければならない。
5.33	記録の保護	記録は，消失，破壊，改ざん，認可されていないアクセス及び不正な流出から保護しなければならない。
5.34	プライバシー及び個人識別可能情報（PII）の保護	組織は，適用される法令，規制及び契約上の要求事項に従って，プライバシー及びPIIの保護に関する要求事項を特定し，満たさなければならない。
5.35	情報セキュリティの独立したレビュー	人，プロセス及び技術を含む，情報セキュリティ及びその実施の管理に対する組織の取組について，あらかじめ定めた間隔で，又は重大な変化が生じた場合に，独立したレビューを実施しなければならない。
5.36	情報セキュリティのための方針群，規則及び標準の順守	組織の情報セキュリティ方針，トピック固有の方針，規則及び標準を順守していることを定期的にレビューしなければならない。
5.37	操作手順書	情報処理設備の操作手順は，文書化し，必要とする要員に対して利用可能にしなければならない。

6 人的管理策

番号	管理策名	管理策
6.1	選考	要員になる全ての候補者についての経歴などの確認は，適用される法令，規制及び倫理を考慮に入れて，組織に加わる前に，及びその後継続的に行わなければならない。また，この確認は，事業上の要求事項，アクセスされる情報の分類及び認識されたリスクに応じて行わなければならない。
6.2	雇用条件	雇用契約書には，情報セキュリティに関する要員及び組織の責任を記載しなければならない。
6.3	情報セキュリティの意識向上，教育及び訓練	組織の要員及び関連する利害関係者は，職務に関連する組織の情報セキュリティ方針，トピック固有の方針及び手順についての，適切な，情報セキュリティに関する意識向上プログラム，教育及び訓練を受けなければならず，また，定常的な更新を受けなければならない。
6.4	懲戒手続	情報セキュリティ方針違反を犯した要員及びその他の関連する利害関係者に対して処置をとるために，懲戒手続を正式に定め，伝達しなければならない。
6.5	雇用の終了又は変更後の責任	雇用の終了又は変更の後もなお有効な情報セキュリティに関する責任及び義務を定め，施行し，関連する要員及びその他の利害関係者に伝達しなければならない。
6.6	秘密保持契約又は守秘義務契約	情報保護に対する組織のニーズを反映する秘密保持契約又は守秘義務契約は，特定し，文書化し，定常的にレビューし，要員及びその他の関連する利害関係者が署名しなければならない。
6.7	リモートワーク	組織の構外でアクセス，処理又は保存される情報を保護するために，要員が遠隔で作業をする場合のセキュリティ対策を実施しなければならない。
6.8	情報セキュリティ事象の報告	組織は，要員が発見した又は疑いをもった情報セキュリティ事象を，適切な連絡経路を通して時機を失せずに報告するための仕組みを設けなければならない。

7 物理的管理策

番号	管理策名	管理策
7.1	物理的セキュリティ境界	情報及びその他の関連資産のある領域を保護するために，物理的セキュリティ境界を定め，かつ，用いなければならない。
7.2	物理的入退	セキュリティを保つべき領域は，適切な入退管理策及びアクセス場所（受付など）によって保護しなければならない。
7.3	オフィス，部屋及び施設のセキュリティ	オフィス，部屋及び施設に対する物理的セキュリティを設計し，実装しなければならない。
7.4	物理的セキュリティの監視	施設は，認可していない物理的アクセスについて継続的に監視しなければならない。
7.5	物理的及び環境的脅威からの保護	自然災害及びその他の意図的又は意図的でない，インフラストラクチャに対する物理的脅威などの物理的及び環境的脅威に対する保護を設計し，実装しなければならない。
7.6	セキュリティを保つべき領域での作業	セキュリティを保つべき領域での作業に関するセキュリティ対策を設計し，実施しなければならない。
7.7	クリアデスク・クリアスクリーン	書類及び取外し可能な記憶媒体に対するクリアデスクの規則，並びに情報処理設備に対するクリアスクリーンの規則を定め，適切に実施させなければならない。
7.8	装置の設置及び保護	装置は，セキュリティを保って設置し，保護しなければならない。

利用上の注意

この規格書の内容は社内参考資料として提供されています。規格の著作権は日本産業標準調査会（JISC）に帰属します。社外への配布や商用利用は禁止されています。