ISO/IEC 27001 情報セキュリティマネジメントシステムの要求事項(4.5節〜4.6節)
令和7年8月29日|p.104
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
VO1
PO11961歳時120000000688年28
4.5.4.2組織は、計画通りに実施されたことを確信するために、文書化した情報を、利用可
能な状態にする。「27001-8.1
文書化した情報に、以下の情報が集められているかどうかを確認する。
・管理策の実施状況
・管理策の有効性
・管理策を取り巻く環境の変化
また、これらの情報を把握し判断する体制を構築する。
4.5.4.3組織は、計画した変更を管理し、意図しない変更によって生じた結果をレビューし、
必要に応じて、有害な影響を軽減する処置を講じる。[27001-8.1]
4.5.5情報セキュリティリスクアセスメントの実施[27001-8.2/8.37
4.5.5.1組織は、以下のいずれかの場合において、情報セキュリティリスクアセスメントを
実施する。[27001-8.2]
・あらかじめ定めた間隔
・重大な変更が提案された場合
・重大な変化が生じた場合
4.5.5.2組織は、情報セキュリティリスク対応計画を実施する,[27001-8.3
情報セキュリティリスク対応計画の実施においては、明確にされた個々の責任に
ついて全うしていることを確認するための方策を講じる。
4.5.5.3トップマネジメントは、情報セキュリティリスク対応計画のために十分な経営資源
を提供する。
情報セキュリティリスク対応計画には相応の経営資源が必要になるところ、以下
の点について考慮する。
・管理策の導入及び運用にかかる費用、人員、作業工数、技術
・セキュリティインシデント発生時の一時対応にかかる費用
・その他のリスク対応にかかる費用
運用においては管理策の効果測定などを実施するために必要な経営資源について
考察し、予算化する。
4.6情報セキュリティマネジメントの監視及びレビュー[27001-5.1/8.2/9/10.2]
4.6.1有効性の継続的改善[27001-10.2/8.2/9.2/9.3/5.1]
4.6.1.1組織は、以下を実施し、情報セキュリティマネジメントの適切性、妥当性及び有効
性を継続的に改善する。[27001-10.2/8.2/9.2/9.3]
・定期的な情報セキュリティリスクアセスメント
・定期的な情報セキュリティ内部監査
・トップマネジメントによる定期的なマネジメントレビュー
継続的改善においては、これまで実施してきた管理策だけではなく、環境の変化
に伴う新たな脅威やぜい弱性についても不適合を検出し処置する。
4.6.1.2トップマネジメントは、継続的改善を促進する。[27001-5.1g)]
4.6.1.1を実施するための、役割、責任及び権限を割り当て、実施するよう関係者
に伝達する。
4.6.2パフォーマンス評価[27001-9
4.6.2.1祖織は、以下を決定し、その結果の証拠として文書化した情報を利用可能な状態と
するとともに、情報セキュリティバフォーマンス及び情報セキュリティマネジメン
トの有効性を評価する。[27001-9.1]
・必要とされる監視及び測定の対象(情報セキュリティプロセス及び管理策を含
む。)
・妥当な結果を確実にするための、監視、測定、分析及び評価の方法(妥当と考
えられる、比較可能で再現可能な結果を生み出す方法とする。)
・監視及び測定の実施時期
・監視及び測定の実施者
・監視及び測定の結果の、分析及び評価の時期
・監視及び測定の結果の、分析及び評価の実施者
4.6.2.2組織は、あらかじめ定めた間隔で内部監査を実施する。「27001-9.2a)/9.2b)
a)内部監査を実施する際は、以下を確認する。
・以下に適合していること。
ー情報セキュリティマネジメントに関して、組織自体が規定した要求事
1項
-本マネジメント基準の要求事項
・情報セキュリティマネジメントが有効に実施され、維持されていること。
b)内部監査は、管理策の有効性を総合的に確認するために定期的に実施し、計画
及び結果について以下の文書で管理する。
・内部監査基本計画
・内部監査実施計画
・内部監査報告書
基本計画書では対象範囲、目的、管理体制及び期間又は期日について、実施
計画では実施時期や実施場所、実施担当者及びその割当て並びに詳細な監査の
手法についてあらかじめ決める。予定通り実施されたことを証明するためにも、
実施報告書を作成する.
c)適合性の監査においては、以下の項目を対象に含む。
・関連する法令又は規制の要求事項
・情報セキュリティリスクアセスメントなどによって特定された情報セキュ
リティ要求事項
d)情報セキュリティマネジメントが有効に実施され、維持されていることの監査
においては、以下の項目を対象に含む。
・管理策の有効性及び維持
・管理策が期待通りに実施されていること。
4.6.2.3組織は、頻度、方法、責任及び計画策定に関する要求事項及び報告を含む、監査プ
ログラムを計画、確立、実施及び維持する。[27001-9.2.2]
内部監査プログラムを確立するとき、組織は、関連するプロセスの重要性及び前
回までの監査の結果を考慮する。
4.6.2.4組織は、監査基準及び監査範囲を明確にする。「27001-9.2.2a)
監査プログラムでは全体的な監査の日程だけではなく、以下の内容について含め
る。
・監査の基準(以下の内容も含む。)
-目的、権限と責任
-独立性、客観性と職業倫理
-専門能力
-業務上の義務
-品質管理
-監査の実施方法
-監査報告書の形式
・監査の範囲
・監査の頻度又は時期
・監査の方法(個別の情報セキュリティ監査基準を作成し、内部監査、外部組織
による監査のいずれにおいても、品質の高い監査を実施できるように準備を整
える。