練馬のみなさまへ 協業のお願い!

情報セキュリティマネジメントで使えるJIS Q 27001:2014の知識

セキュリティ系記事キャッチ画像

JIS Q 27001:2014の概要

JIS Q 27001:2014は情報セキュリティマネジメント(ISMS)に要求される事項を規定しています。

トップマネジメントが担う役割

JIS Q 27001:2014ではトップマネジメントはISMSの有効性に寄与するように人々を指揮し、支援するよう求められています。
一方で、実際の計画の策定などは担当者が考えていくので、こまごまとした計画はトップマネジメントの役割ではありません。

内部監査

組織が行わなければならないこと

JIS Q 27001:2014では内部監査において、組織は以下の事項を行わなければならないとしています。

  • 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
  • 各監査について,監査基準及び監査範囲を明確にする。
  • 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。f)監査の結果を関連する管理層に報告することを確実にする。
  • 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。

出典:http://kikakurui.com/q/Q27001-2014-01.html

要求事項ではないもの

  • 監査員は研修の修了者である必要はない
  • 代表取締役が監査員を任命する必要はなく、任命については定められていない
  • 監査範囲はJIS Q 27001に規定された管理策に限定されない

ISMSユーザーズガイド

ISMSユーザーズガイドはJIS Q 27001:2014の内容を解説しているものです。
入手には申請が必要ですが、機会があれば手にしてみてください。

参考 ISMS認証に関するガイド類情報マネジメントシステム認定センター(ISMS-AC)