情報セキュリティ管理基準

概要

情報セキュリティ管理基準とは、経済産業省が公開している、組織体が情報セキュリティ管理を適切に遂行するためのガイドライン。企業などが情報資産やこれを管理するITシステムの安全を確保する体制を構築・運用するための実践的な規範を示している。

情報セキュリティ管理に関する国際規格のISO/IEC 27000シリーズ、およびこれを国内規格化したJIS Q 27000シリーズに準拠したガイドラインで、同規格に基づいて運用されるISMS適合性評価制度の基準とも整合するよう調整されている。

ISMS認証の基準を示したISO/IEC 27001およびJIS Q 27001に基づく「マネジメント基準」と、情報セキュリティ管理のベストプラクティスを示したISO/IEC 27002およびJIS Q 27002に基づく「管理策基準」で構成される。章立てなどもこれらの規格に沿った構成になっているが一部に異なる部分がある。

マネジメント基準は組織体が経営上の仕組みとして情報セキュリティマネジメントシステムを組み入れ、管理体制を組織し業務として運用するための指針を示したもので、原則すべて実施すべきとされる。管理策基準は実際の運用に際して実施する施策の選択肢を示したもので、組織体の実情に合わせて取捨選択すべきとされる。

2003年に初版が公開され、参照している標準規格の改訂に合わせて随時改訂が行われている。最新版はJIS Q 27001:2014等に準拠した平成28年版（2016年公開）である。なお、同省が公開している「情報セキュリティ監査基準」に基づいて監査を行う際には、原則として情報セキュリティ管理基準を判断の尺度として用いられることと定められている。

(2023.10.10更新)