情報セキュリティマネジメント基準(JIS Q 27001:2023準拠)
令和7年8月29日|p.99
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
(合 61 (34
日曜
3.3.5コミュニケーション
3.3.5.1ガバナンス主体は、以下を実行する。
・外部の利害関係者を対象とする、組織体がその活動及び優先度の実態に見合っ
た情報セキュリティのレベルを実践していることの報告
・規制上の義務、利害関係者の期待及び情報セキュリティに関する組織体の要求
事項の特定及び優先度の決定
・注意及び決定が必要な問題についての、各情報セキュリティマネジメントシス
テムの責任者への助言
・関連する利害関係者に向けた、情報セキュリティの優先度決定を支援するため
に採用すべき詳細な対象に関する指導
・情報セキュリティに積極的な文化の奨励
・スタッフ及びその他の人々を対象とする、情報セキュリティマネジメントシス
テムの適用範囲での責任を果たすための訓練とコミュニケーション
.マネジメント基準
4.1マネジメント基準
マネジメント基準は,JISQ27001:2023を基に、情報セキュリティについて組織を指
揮統制するために調整された活動である情報セキュリティマネジメントを確立、導入、運用、
監視、維持及び改善するための基準を定める。マネジメント基準は、原則としてすべて実施し
なければならないものである。
4.2記載内容について
JISQ27001:2023を基に、情報セキュリティマネジメントの計画、実行、点検、処置
等の活動に必要な事項を定める。
4.3凡例
4.4章以降は、以下の構成をとる。
4.4情報セキュリティマネジメントの確立[27001-4.4]
4.4.1組織の役割、責任及び権限[27001-5.3/5.1]
4.4.1.1トップマネジメントは、情報セキュリティマネジメントに関するリーダーシッ
ブ及びコミットメントを発揮する。(27001-5.1b)/5.1e)/5.1f)。
・組織のプロセスへ、その組織が必要とする情報セキュリティマネジメント
要求事項を統合する。
:.
[27001-X.X.X]は、JISQ27001:2023において関連する条項(X.X)
を示す。
4.4情報セキュリティマネジメントの確立[27001-4.4]
情報セキュリティマネジメントを確立するために、その基盤となる適用範囲を決定し、方針
を確立する。これらをもとに、情報セキュリティリスクアセスメントを実施し、その対応を計
画し実施する。それにより、必要なプロセス及びそれらの相互作用を含む。組織が有効な情報
セキュリティマネジメントを実施するための基盤作りを行う。
4.4.1組織の役割、責任及び権限[27001-5.3/5.1]
4.4.1.1トップマネジメントは、以下によって、情報セキュリティマネジメントに関するリー
ダーシップ及びコミットメントを発揮する。[27001-5.1b)/5.1e)/5.1f).
・組織のプロセスへ、その組織が必要とする情報セキュリティマネジメント要求
事項を統合する。
・情報セキュリティマネジメントがその意図した成果を達成することを確実にす
る。
・情報セキュリティマネジメントの有効性に寄与するよう人々を指揮し、支援す
る。
また、トップマネジメントがリーダーシップ及びコミットメントを発揮している
ことを以下により確認する。
・経営会議等の議事録に、トップマネジメントの情報セキュリティマネジメント
に関する意思、判断、指示等が記録されていること。
・情報セキュリティ方針、情報セキュリティ目的及びそれを達成する計画を策定
する際に、トップマネジメントの意思、判断、指示等が含まれていること。
・達成すべきセキュリティの水準として、リスクレベルをトップマネジメントが
決定していること。
・リスクレベルに応じて選択したセキュリティ管理策を実施させる際に、トップ
マネジメントの意思、判断、指示等が含まれていること。
・内部監査において確認すべき事項に、トップマネジメントが要求する情報セキュ
リティ要求事項等が含まれていること。
・内部監査報告書やそれに基づく是正処置、マネジメントレビュー議事録等に、
トップマネジメントの意思、判断、指示等が含まれていること。
4.4.1.2トップマネジメントは、組織の役割について、以下の責任及び権限を割り当て、座
織内に伝達する。「27001-5.3
・情報セキュリティマネジメントを、本管理基準の要求事項として適合させる。
・情報セキュリティマネジメントのバフォーマンス評価をトップマネジメントに
報告する。
また、組織の情報セキュリティマネジメントを本管理基準の要求事項に適合させ
るために不可欠な責任・権限を明確にしたうえで、それぞれに適切な割り当てが行
われていることを確認する。責任・権限の例を以下に示す。
・セキュリティ要求事項を盛り込んだ情報セキュリティ方針等の文書を策定する
責任・権限
・リスクアセスメントにおいて、リスクを運用管理する責任・権限をもつリスク
所有者
・セキュリティ要求事項を満たす管理策を教育、普及させる責任・権限
・セキュリティ要求事項を満たしているか監査する責任・権限
・各プロセスの結果及び効果をトップマネジメントに報告する責任・権限
・各プロセスの結果及び効果を組織内に周知する責任・権限
4.4.1.3トップマネジメントは、その他の関連する管理層がその責任の領域においてリーダー
シップを発揮できるよう、管理層の役割を支援する。[27001-5.1h)
その他の関連する管理層が、その職掌範囲、組織等において、リーダーシップを
発揮できるよう、トップマネジメントは、管理層に、必要な権限を委譲しているこ
とを確認する。
4.4.2組織及びその状況の理解[27001-4.1]
4.4.2.1祖織は、組織の目的に関連し、かつ、情報セキュリティマネジメントの意図した成
果を達成する組織の能力に影響を与える、以下の課題を決定する。[27001-4.1]
・外部の課題
・内部の課題