JISQ27001:2014、情報セキュリティ基準について調べたこと。

概要

セキュリティマネジメント試験勉強をするにあたり、IPAが提唱するJIS27001:2014について、単に覚えるだけではあったが、整理を行うためにも少し調べてみた。

JISとは

そもそもJISとは、日本工業規格と呼ばれるものであり世界標準規格であるISOなどをベースに主務大臣がJISCへ原案の審議を行い、工業標準化法に基づいて制定するものだとか。
このリンク先PDFの19ページにプロセスが記載されている。
JIS規格ってなに？ - 日本規格協会
主務大臣（経済産業大臣だと思われる。
JISC（経済産業省審議会：審議・調査）
JSA（JISCの規格票を出版：広報活動的な一般財団法人）
JIS（日本工業規格）
規格とは工業製品、例えばコンセントなどを形状であるとか身の回りのものを統一し、異種メーカーの製造する製品であっても統一して利用できる規格のことを言う。なるほど天下りが多そうではあるが、仕組みは理解した。

Qってなんなん

JISについては、理解した。ではQってなんなん？これも先述した「JISって何？」に記載されてはいるが分野別に分けられている規格記号とのこと。IT情報系に関係あるとすれば「Q」「X」ではあるが、JISXはどちらかと言えば日本語文字コード、データ符号などを取り決めているものらしい。Qの管理システムが該当する。なのでJISQについては理解した。JISについては、理解した。

JISQ27001:XXXXと情報セキュリティ管理基準

情報セキュリティ管理基準の成り立ちについて見てみよう。

平成15年

経済産業省がISO/IEC 17799:2000（JIS X 5080:2002）をベースに「情報セキュリティ管理基準」を策定。これが最初になる。

組織体の業種及び規模等を問わず汎用的に適用できるように、情報資産を保護するための最適な実践慣行を帰納要約し、情報セキュリティに関するコントロールの目的、コントロールの項目を規定

平成17年

ISO/IEC 27001:2005 （JIS Q 27001:20061）及びISO/IEC 27002:2005（旧ISO/IEC 17799:2000）として情報セキュリティマネジメントのための実践規範（JIS Q 27002:2006）が策定される。これらは認証資格であることから、要求事項について満たせば認証資格を取得できる。
→まとめる。
・ISMSは認証でありISO27001(2)はその資格認証の手順。
・ISMS要求事項は情報の「機密性」・「完全性」・「可用性」の維持
・ISO27001とJISQ27001は国際規格と日本規格かの違い程度。
・情報セキュリティ管理基準はISMS認証取得を目指している組織や情報セキュリティ監査に関わる組織やそれに属する個々人の情報セキュリティに関する規範。
ややこしい・・。

平成20年

情報セキュリティ基準の見直しを図る。

対象：ISMS認証取得を目指している組織、独自に情報セキュリティマネジメントの確立を検討している組織、情報セキュリティ監査を実施する組織、情報セキュリティ監査を受ける組織など幅広い利用者

内容：情報セキュリティマネジメントの基本的な枠組み、具体的な管理項目の規定により組織体が効率的に情報セキュリティマネジメント体制の構築と、適切な管理策の整備と運用を行えるように規定。

平成25年

ISO/IEC 27001及び27002は、ISO/IEC 27001:2013（JIS Q 27001:2014）及び、ISO/IEC 27002:2013（JIS Q 27002:2014）に改訂。

・マネジメントシステムの共通化、構成の変更
・IT環境の変化等に伴う管理策の新規追加、削除、統合など

平成28年

大幅な改定が行われる。

多くの利用者がISOに則った情報セキュリティマネジメント体制の構築と、適切な管理策の整備と運用を行えるよう、構成の変更も含め、情報セキュリティ管理基準（平成20年改正版）を大幅に改正し、実施すべき管理策の見直しも行う。

これらを見る回切りISOで策定されたことを受けて情報セキュリティ管理基準が策定されたものの、その後でISOと同時にJISQ27001が策定されてきたことになる。次は情報セキュリティ基準の中身について調べてみる。

参考サイト：経済産業省情報セキュリティ基準