JIS Q 27000シリーズ

概要

解説 ISMS（Information Security Management System）とは、組織内での情報の取り扱いについて、機密性、完全性、可用性を一定の水準で確保するための仕組みを意味する。JIS Q 27000シリーズでは企業などが情報セキュリティ管理を行うために必要な要件や規範を示し、規格に準拠していることを認証するための基準を定めている。

「JIS Q 27000」は「JIS Q 27001」「JIS Q 27002」などの一連の規格群（ISMSファミリ規格）の総称であると共に、「JIS Q 27000」という個別の規格も設けられている。この規格ではISMSファミリ規格群の目的や概要を示し、共通する用語の定義を列挙している。

JIS Q 27001

2005年に発行されたISO/IEC 27001と同等の内容を定めた国内規格で、2006年に発行された。規格名称は「情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティマネジメントシステム－要求事項」。

ISMSの要求事項を定めた規格で、認定機関による審査によって基準を満たしていると認められた組織にはISMS認証が与えられる。これを「ISMS適合性評価制度」と呼び、一般社団法人情報マネジメントシステム認定センター（ISMS-AC）が制度を運用している。

JIS Q 27002

2005年に発行されたISO/IEC 27002と同等の内容を定めた国内規格で、2006年に発行された。規格名称は「情報技術－セキュリティ技術－情報セキュリティ管理策の実践のための規範」。ISO/IEC 17799をもとに策定されたJIS X 5080の改訂版。

情報セキュリティ管理を実践するためのベストプラクティスをまとめた規格で、基本方針、組織、資産管理、人的セキュリティ、物理セキュリティ、通信ネットワーク、アクセス制御、システム開発・保守、セキュリティインシデント管理、事業継続、コンプライアンスの12章に分けて規範が紹介されている。