ISO/IEC 27001に基づく情報セキュリティマネジメントの文書化及び管理策基準に関する解説
令和7年8月29日|p.106
左の本文を選ぶと、右側の官報原文画像で該当箇所を照合できます。
901
901(會261號1會)歴目日本日67日67日67年
4.7.1.5組織は、必要な場合には、情報セキュリティマネジメントの変更を行う。
27001-10.2e)
4.7.1.6組織は、是正処置は、検出された不適合のもつ影響に応じたものとする。
[27001-10.2]
4.7.1.7組織は、是正処置の証跡として、以下の文書化した情報を利用可能な状態にする。
「27001-10.2f)/10.2g)
・不適合の性質及びそれに対して講じたあらゆる処置
・是正処置の結果
4.8文書化した情報の管理「27001-7.5
4.8.1文書化の指針「27001-7.5.1
4.8.1.1組織は、情報セキュリティマネジメントが必要とする以下の情報を文書化する。
[27001-7.5.1
・情報セキュリティ方針
・情報セキュリティ目的
・情報セキュリティリスクアセスメントのプロセス
・情報セキュリティリスク対応のプロセス
・情報セキュリティリスクアセスメントの結果
・情報セキュリティリスク対応計画
・パフォーマンス測定の結果
これらの内容についてはどの文書に記載されていてもかまわないが、その内容を
知る必要がある担当者には必ず伝わるように構成するとともに、知る必要性のない
者が閲覧できないことを確実にする。
4.8.2文書の作成・変更及び管理「27001-7.5.2/7.5.3]
4.8.2.1組織は、以下を行うことによって、文書化した情報を作成及び更新する。
[27001-7.5.2
・適切な識別情報の記述(例えば、表題、日付、作成者、参照番号)
・適切な形式(例えば、言語、ソフトウェアの版、図表)及び媒体(例えば、紙、
電子媒体)の選択
・適切性及び妥当性に関する、適切なレビュー及び承認
・文書化した情報のライフサイクルの定義や、それに応じた処理ができるような
手順の策定
・文書を発行する前における、適正性のレビュー及び承認
・必要に応じた、文書の更新及び再承認
・廃止文書の誤使用の防止
・廃止文書を何らかの目的で保持する場合における、廃止文書であることが分か
る適切な識別情報の記述
また、これらのすべての活動が文書管理に反映されているか、またその活動が業
務に大きな障害を与えていないかなどを考慮し、適切な文書管理手順を策定する。
4.8.2.2祖織は、以下のことを確実にするために、情報セキュリティマネジメントで要求さ
れた、文書化した情報を管理する。[27001-7.5.3]
・文書化した情報が、必要なときに、必要なところで、入手可能かつ利用に適し
た状態であること。
・文書化した情報が十分に保護されていること(例えば、機密性の喪失、不適切
な使用又は完全性の喪失からの保護)。
・文書化した情報の配付、アクセス、検索及び利用
・文書化した情報の読みやすさが保たれることを含む、保管及び保存
・文書化した情報の変更の管理(例えば、版の管理)
・文書化した情報の保持及び廃棄
また、情報セキュリティマネジメントの計画策定及び運用のために組織が必要と
決定した文書は、外部から入手したものであっても、必要に応じて、識別し、管理
する。
.管理策基準
管理策基準に記載される管理策「Xx-X.XIは、情報セキュリティマネジメントの単位毎に、リス
ク対応のための方針に基づき適切に選択すべき事項である。詳細管理策「Xx-X.X.X.
管理策を実装するために組織・環境・技術等に応じて必要とする事項を選択するものである。
5組織的管理策
5a組織的管理
5a-5.1情報セキュリティのための方針群
管理策:情報セキュリティ方針及びトピック固有の方針は、これを定義し、管理層が承認し、
発行し、関連する要員及び関連する利害関係者に伝達し、認識させ、あらかじめ定め
た間隔で、及び重大な変化が発生した場合にレビューする。
目的:事業、法令、規制及び契約上の要求事項に従って、情報セキュリティに対する管理層
の指示及び支援の継続的な適合性、適切性、及び有効性を確実にするため、
詳細管理策
Sa-5.1.1組織は、方針群の最も高いレベルに、一つの"情報セキュリティ方
針"を定める。
(5a-5.1.1参考)この情報セキュリティ方針は、トップマネジメントが承認し、情報
セキュリティの管理に対する組織の取組を示すものである。
50-5.1.2情報セキュリティ方針は、次のものから導き出される要求事項を考
慮に入れる。
a)事業上の戦略及び要求事項
b)規制、法令及び契約
c)現在の及び予想される情報セキュリティのリスク及び脅威
5a-5.1.3情報セキュリティ方針には、次の事項に関する記載を含める。
a)情報セキュリティの定義
b)情報セキュリティ目的、又は情報セキュリティ目的を設定す
るための枠組み
c)情報セキュリティに関する全ての活動の指針となる原則
d)情報セキュリティに関連する適用される要求事項を満たすこ
とへのコミットメント
e)情報セキュリティマネジメントシステムの継続的な改善への
コミットメント
f)情報セキュリティマネジメントに関する責任の、定められた
役割への割当て
g)逸脱及び例外を取り扱う手順
5a-5.1.4
情報セキュリティ方針のいかなる変更もトップマネジメントが承認
する。
in-5.1.5方針群のより低いレベルでは、情報セキュリティ方針は、情報セキュ
リティ管理策の実施を更に義務付けるために、必要に応じてトピッ
ク固有の方針によって支持する。