その他令和7年8月29日

情報セキュリティマネジメントにおける力量確保及びコミュニケーションに関するガイドライン

掲載日
令和7年8月29日
号種
号外
原文ページ
p.103
出典:官報発行サイト(内閣府)の掲載情報をもとに整理しています。重要な確認は公式原文を基準にしてください。
原文確認推奨
抽出テキストだけで判断せず、必要に応じて原文画像または PDF で確認してください。

本文と原文の対照

まず左側の本文を読み、必要な箇所だけ原文ページで確認できる構成です。

← 同日の官報に戻る
原文対照の表示オプション

情報セキュリティマネジメントにおける力量確保及びコミュニケーションに関するガイドライン

令和7年8月29日|p.103

左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。

公式原文あり本文テキスト画像照合可誤りを報告
(會社會) 號 ) 日本 日本人地号 CO1
4.5.2.2組織は、組織の情報セキュリティパフォーマンスに影響を与える業務をその管理下
で行う人(又は人々)に必要な力量を決定する。[27001-7.2a)]
情報セキュリティマネジメントに関係する業務及び影響のある業務を特定し、役
割を明確にした業務分掌を作成する。これらの業務分掌においては以下の点を明確
にする。
・役職名
・業務内容
・担当者の責任範囲
・業務に必要な知識
・業務に必要な資格
・業務に必要な経験
知識や資格、経験などは環境や目的の変化によって変更される可能性があるため、
最新の情報となるように随時見直しを行う。
4.5.2.3組織は、適切な教育、訓練又は経験に基づいて、組織の情報セキュリティパフォー
マンスに影響を与える業務をその管理下で行う人(又は人々)が力量を備えられる
ようにする。「27001-7.2b)
適用される処置には、例えば、現在雇用している人々に対する教育訓練の提供、
指導の実施、配置転換の実施などがある(教育や訓練などが間に合わないと判断さ
れる場合には相応の力量を有した要員の雇用が、また、社内業務との関連が少ない
業務においては外部委託などがある。)。
4.5.2.4組織は、必要な力量を身につけるための処置をとり、とった処置の有効性を評価す
る。[27001-7.2c)
必要な力量を身につけるための処置としては、教育訓練が重要である。教育は「必
要な知識を得させる」、訓練は「必要なスキル及び経験を得させる」ために実施する。
教育の内容は一般的な脅威やぜい弱性などの知識だけではなく、業務上のリスクや。
組織の特徴を反映した内容を盛り込むなど、実効性のある内容となるようにする。
教育及び訓練を実施した結果、必要な力量が持てたかどうかを確認するための取
組を実施する。取組の例を以下に示す。
・知識の確認テスト
・スキルの実習テスト
・チェックリストなどによるベンチマーク
実施結果については記録し、要員選択の客観性を確保する。
4.5.2.5組織は、力量の証拠として、適切な文書化した情報を保持する。「27001-7.2d)
教育、訓練については以下の例示を参考に検討し、定期的に実施する。
・教育・訓練基本計画
・教育・訓練実施計画
・確認テスト又は評価報告
教育や訓練の一部を免除する場合は、それがどの技能や経験、資格に当てはまる
かを明確にし、それぞれの担当者について調査し、一覧にする。資格については有
効期限などを明確にし、更新する。
4.5.2.6組織の管理下で働く人々は、情報セキュリティ方針を認識する。[27001-7.3a)
情報セキュリティの活動について、組織が定めた目的と重要性について、情報セ
キュリティ方針の通達や教育の一環として周知徹底することによって、管理策がな
ぜ実施されているのかについて関係者の理解を深める。
4.5.2.7組織の管理下で働く人々は,情報セキュリティバフォーマンスの向上によって得ら
れる便益を含む、情報セキュリティマネジメントの有効性に対する自らの貢献を認
識する。「27001-7.3b)]
以下の点について組織の管理下で働く人々に伝えることによって、各人の役割及
び情報セキュリティマネジメントの有効性に対する自らの貢献を明確にする。
・情報セキュリティマネジメントにおけるそれぞれの役割
・役割を実行するための業務と手順(異常を検知した場合の報告手順も含む。)
・これらが記載された文書の所在
4.5.2.8組織の管理下で働く人々は、情報セキュリティマネジメントの要求事項に適合しな
いことの意味を認識する。[27001-7.3c)
4.5.3コミュニケーション[27001-7.4]
4.5.3.1組織は、情報セキュリティマネジメントに関連する内部及び外部のコミュニケーショ
ンを実施する必要性を決定する。[27001-7.4]
a)内部及び外部のコミュニケーションを実施する際は、以下を考慮することとす
る。
・コミュニケーションの内容
・コミュニケーションの実施時期
・コミュニケーションの対象者
・コミュニケーションの方法
b)内部コミュニケーションでは、以下の例示を参考に、組織の情報セキュリティ
マネジメントの実施に不可欠な者と、適宜及び定期的なコミュニケーションを
実施する。
・トップマネジメント
・情報セキュリティマネジメントを本管理基準の要求事項に適合させる権限
11
・情報セキュリティマネジメントのパフォーマンスをトップマネジメント又
は組織内に報告する権限者
・情報セキュリティマネジメントを本管理基準の要求事項に適合させる権限
・組織内の従業員
c)外部コミュニケーションでは、以下の例示を参考に、組織の情報セキュリティ
マネジメントの実施に不可欠な者と、必要に応じて、コミュニケーションを実
施する。
・取引先、パートナー、サプライチェーン上の関係者
・親会社、グループ会社
・当該組織のセキュリティを監督する省庁、政府機関
・所属するセキュリティ団体、協会
4.5.4情報セキュリティマネジメントの運用の計画策定及び管理[27001-8.1]
4.5.4.1組織は、次に示す事項の実施によって情報セキュリティ要求事項を満たすため、リ
スク及び機会に対処する活動を実施するために必要なプロセスを計画し、実施し、
かつ管理する。「27001-8.11
・プロセスに関する基準の設定
・その基準に従った、プロセスの管理の実施
読み込み中...
情報セキュリティマネジメントにおける力量確保及びコミュニケーションに関するガイドライン - 第103頁
テキスト領域
選択中
非公開 (PII)
関連する新着公告を見逃さないために

Pro プランでは会社名・機関名・キーワードを監視条件として保存し、新着掲載を継続確認できます。14日間無料で試せます。

監視機能の詳細を見る →