情報セキュリティマネジメントで使えるJIS Q 27001:2014の知識
JIS Q 27001:2014の概要
JIS Q 27001:2014は情報セキュリティマネジメントシステム(ISMS)に要求される事項を規定しています。
トップマネジメントが担う役割
JIS Q 27001:2014ではトップマネジメントはISMSの有効性に寄与するように人々を指揮し、支援するよう求められています。
一方で、実際の計画の策定などは担当者が考えていくので、こまごまとした計画はトップマネジメントの役割ではありません。
内部監査
組織が行わなければならないこと
JIS Q 27001:2014によると、内部監査では組織は以下の事項を行わなければならないとしています[1]http://kikakurui.com/q/Q27001-2014-01.html。
- 頻度,方法,責任及び計画に関する要求事項及び報告を含む,監査プログラムの計画,確立,実施及び維持。監査プログラムは,関連するプロセスの重要性及び前回までの監査の結果を考慮に入れなければならない。
- 各監査について,監査基準及び監査範囲を明確にする。
- 監査プロセスの客観性及び公平性を確保する監査員を選定し,監査を実施する。f)監査の結果を関連する管理層に報告することを確実にする。
- 監査プログラム及び監査結果の証拠として,文書化した情報を保持する。
要求事項ではないもの
上記のように、JIS Q 27001:2014では組織が内部監査で実施しなければならない事項を紹介していますが、反対に必須ではない事項も紹介しています。
JIS Q 27001:2014で必須とされていない事項は以下のとおりです。
- 監査員は研修の修了者である必要はない。
- 代表取締役が監査員を任命する必要はなく、任命については定められていない。
- 監査範囲はJIS Q 27001に規定された管理策に限定されない。
ISMSユーザーズガイド
ISMSユーザーズガイドはJIS Q 27001:2014の内容を解説しているものです。
入手には申請が必要ですが、機会があれば手にしてみてください。
注
| ↑1 | http://kikakurui.com/q/Q27001-2014-01.html |
|---|