要求事項
ISO/IEC 27001:2022の4〜10は、ISMSの構築・運用に必要な要求事項を定めています。認証取得にはすべての要求事項への適合が必要です。
本ページはISO/IEC 27001:2022/Amd 1:2024(気候変動対応の追補版)の内容を反映しています。
4 組織の状況
ISMSを構築する前提として、組織を取り巻く環境と利害関係者を把握し、適用範囲を明確にします。
4.1 組織とその状況の理解
関連テンプレート: ISMSマニュアル - 4.1 組織及びその状況の理解
要求事項の概要
組織はISMSの目的達成に影響を与える外部・内部の課題を特定する必要があります。また、気候変動が関連する課題であるかどうかを決定する必要があります。
解説
外部の課題とは、法規制の変化、市場動向、技術トレンド、脅威の動向などを指します。内部の課題には、組織文化、経営資源、情報システムの構成、事業プロセスなどが含まれます。これらの課題を把握することで、ISMSが対処すべきリスクや機会の基盤が形成されます。
2024年の追補版(Amd 1:2024)により、気候変動についても検討対象として明示されました。気候変動は、自然災害の増加によるデータセンターへの影響、サプライチェーンの混乱、エネルギー供給の不安定化など、情報セキュリティに関連するリスクをもたらす可能性があります。
実務上のポイント
- 経営戦略やビジネス環境分析(SWOT分析等)の結果を活用できます
- 定期的な見直し(年1回程度)を推奨します
- マネジメントレビュー(9.3)のインプットとして活用します
- 気候変動が情報セキュリティに与える影響(物理的リスク、移行リスク)を評価します
4.2 利害関係者のニーズと期待の理解
関連テンプレート: ISMSマニュアル - 4.2 利害関係者のニーズ及び期待の理解
要求事項の概要
ISMSに関連する利害関係者と、その要求事項を特定する必要があります。
解説
利害関係者には、顧客、株主、従業員、規制当局、サプライヤー、パートナーなどが含まれます。これらの関係者が情報セキュリティに対してどのような期待や要求を持っているかを把握します。法的・規制上の要求事項や契約上の義務も、利害関係者の要求事項に含まれます。
2024年の追補版(Amd 1:2024)では、関連する利害関係者が気候変動に関する要求事項を持つ可能性があることが注記として追加されました。例えば、顧客がサプライヤーに対してカーボンニュートラルへの取り組みや気候関連リスクの開示を求めるケースが増えています。
実務上のポイント
- 契約書、SLA、法規制一覧を整理します
- 顧客からのセキュリティ要求事項(チェックリスト等)を収集します
- 業界固有の規制やガイドライン(金融庁ガイドライン、個人情報保護法等)を確認します
- 利害関係者からの気候変動関連の要求事項(サステナビリティ報告、BCP要件等)も考慮します
4.3 ISMSの適用範囲の決定
関連テンプレート: ISMSマニュアル - 2. 適用範囲
要求事項の概要
ISMSの境界と適用可能性を決定し、適用範囲を文書化する必要があります。
解説
適用範囲の決定にあたっては、4.1で特定した外部・内部の課題、4.2で特定した利害関係者の要求事項、そして組織と外部組織との間で実行される活動の接点と依存関係を考慮します。適用範囲は明確に定義され、文書化された情報として利用可能でなければなりません。
実務上のポイント
- 組織単位、拠点、業務プロセス、情報システムの観点で範囲を定義します
- 適用範囲外との境界(インターフェース)を明確にします
- クラウドサービスや外部委託先との関係を整理します
- 認証書に記載される内容となるため、慎重に検討します
4.4 情報セキュリティマネジメントシステム
関連テンプレート: ISMSマニュアル
要求事項の概要
ISMSを確立し、実施し、維持し、継続的に改善する必要があります。
解説
この項は、ISMSをPDCAサイクルに基づいて運用することを求めています。必要なプロセスとその相互作用を含め、本規格の要求事項に従ってシステムを構築・運用します。
5 リーダーシップ
トップマネジメントがISMSに対してリーダーシップとコミットメントを示すことを求めています。
5.1 リーダーシップとコミットメント
関連テンプレート: ISMSマニュアル - 5.1 リーダーシップ及びコミットメント
要求事項の概要
トップマネジメントは、以下によりリーダーシップとコミットメントを実証する必要があります。
解説
トップマネジメントには以下の責務があります:
- 情報セキュリティ方針と目的を策定し、組織の戦略的方向性と整合させること
- ISMS要求事項を組織のプロセスに統合すること
- 必要な資源を確保すること
- 効果的な情報セキュリティ管理の重要性を伝達すること
- ISMSが意図した成果を達成することを確実にすること
- 人々がISMSの有効性に貢献するよう指揮・支援すること
- 継続的改善を推進すること
- 他の管理者がその責任領域でリーダーシップを発揮することを支援すること
実務上のポイント
- トップマネジメントの関与を示す証跡(会議議事録、承認記録等)を残します
- マネジメントレビューへの参加が最も直接的な関与の証跡となります
- 経営層向けのセキュリティ報告を定期的に実施します
5.2 方針
関連テンプレート:
要求事項の概要
トップマネジメントは情報セキュリティ方針を確立する必要があります。
解説
情報セキュリティ方針には以下が求められます:
- 組織の目的に適切であること
- 情報セキュリティ目的を含むか、目的設定の枠組みを提供すること
- 適用される情報セキュリティ要求事項を満たすコミットメントを含むこと
- ISMSの継続的改善へのコミットメントを含むこと
- 文書化された情報として利用可能であること
- 組織内に伝達されること
- 必要に応じて利害関係者が入手可能であること
実務上のポイント
- 方針は簡潔で理解しやすい表現を心がけます
- 従業員への周知方法(イントラネット掲載、入社時教育等)を確立します
- 定期的な見直し(年1回程度)を実施します
5.3 組織の役割、責任及び権限
関連テンプレート: ISMSマニュアル - 5.3 組織の役割、責任及び権限
要求事項の概要
トップマネジメントは情報セキュリティに関連する役割の責任と権限を割り当て、伝達する必要があります。
解説
特に、以下の責任と権限を割り当てる必要があります:
- ISMSが本規格の要求事項に適合することを確実にすること
- ISMSのパフォーマンスをトップマネジメントに報告すること
実務上のポイント
- 情報セキュリティ責任者(CISO等)の任命を検討します
- 各部門のセキュリティ責任者を設置します
- 職務分掌規程等で役割・責任を文書化します
6 計画
リスクアセスメントとリスク対応を中核とした計画策定プロセスを定めています。
6.1 リスク及び機会に対処する活動
6.1.1 一般
関連テンプレート: ISMSマニュアル - 6.1 リスク及び機会への取組み
要求事項の概要
ISMS計画時に、4.1の課題と4.2の要求事項を考慮し、対処すべきリスクと機会を決定する必要があります。
解説
リスクと機会への対処は、以下を目的とします:
- ISMSが意図した成果を達成できることを確実にする
- 望ましくない影響を防止または低減する
- 継続的改善を達成する
組織は、これらのリスクと機会に対処する活動を計画し、その活動をISMSプロセスに統合・実施し、有効性を評価する方法を計画する必要があります。
6.1.2 情報セキュリティリスクアセスメント
関連テンプレート:
要求事項の概要
情報セキュリティリスクアセスメントのプロセスを定義し、適用する必要があります。
解説
リスクアセスメントプロセスには以下が含まれます:
- リスク基準の確立・維持: リスク受容基準とリスクアセスメント実施基準を定める
- 一貫性の確保: 繰り返しのアセスメントが一貫した、妥当で比較可能な結果を生むことを確実にする
- リスクの特定: 機密性・完全性・可用性の喪失に関連するリスクを特定し、リスク所有者を特定する
- リスクの分析: リスクが顕在化した場合の潜在的な結果と現実的な発生可能性を評価し、リスクレベルを決定する
- リスクの評価: 分析結果をリスク基準と比較し、リスク対応の優先順位を決定する
リスクアセスメントプロセスに関する文書化した情報を保持する必要があります。
実務上のポイント
- 資産ベース、シナリオベースなど組織に適したアプローチを選択します
- リスク評価基準(影響度×発生可能性のマトリクス等)を事前に定義します
- 年1回以上、または重大な変更時にアセスメントを実施します
- ISO/IEC 27005を参考にできます
6.1.3 情報セキュリティリスク対応
関連テンプレート:
要求事項の概要
情報セキュリティリスク対応のプロセスを定義し、適用する必要があります。
解説
リスク対応プロセスには以下が含まれます:
- リスクアセスメント結果を考慮して、適切なリスク対応選択肢を選定する
- 選択したリスク対応の実施に必要なすべての管理策を決定する
- 決定した管理策を附属書Aと比較し、必要な管理策の見落としがないことを検証する
- 以下を含む適用宣言書(SoA)を作成する:
- 必要な管理策とその選定理由
- 実施状況
- 附属書Aの管理策を除外する場合はその理由
- 情報セキュリティリスク対応計画を策定する
- リスク所有者からリスク対応計画と残留リスクの承認を得る
リスク対応プロセスに関する文書化した情報を保持する必要があります。
実務上のポイント
- リスク対応の選択肢: 回避、軽減(管理策の適用)、移転(保険等)、受容
- 適用宣言書(SoA)は認証審査の重要書類です
- 附属書Aの93項目すべてについて適用/除外の判断が必要です
- 残留リスクの受容は経営判断として記録します
6.2 情報セキュリティ目的及びそれを達成するための計画策定
関連テンプレート: 情報セキュリティ目的 - 3. 情報セキュリティ目的
要求事項の概要
関連する機能及び階層において情報セキュリティ目的を確立する必要があります。
解説
情報セキュリティ目的は以下の要件を満たす必要があります:
- 情報セキュリティ方針と整合していること
- 測定可能であること(実行可能な場合)
- 適用される情報セキュリティ要求事項とリスクアセスメント・対応の結果を考慮すること
- 監視されること
- 伝達されること
- 必要に応じて更新されること
- 文書化された情報として利用可能であること
目的達成の計画では、実施事項、必要資源、責任者、完了時期、評価方法を決定する必要があります。
実務上のポイント
- SMART原則(Specific, Measurable, Achievable, Relevant, Time-bound)で目的を設定します
- 目的の例: インシデント件数削減、教育実施率、パッチ適用率など
- 部門別の目的設定を検討します
6.3 変更の計画
関連テンプレート: ISMSマニュアル - 6. 計画
要求事項の概要
ISMSの変更が必要と判断した場合、計画的な方法で変更を実施する必要があります。
解説
この要求事項は、ISMSに対する変更が無計画に行われることを防ぎ、変更によって生じる影響を事前に評価し、適切に管理することを求めています。
実務上のポイント
- 変更管理プロセスを確立します
- 変更の影響評価と承認プロセスを定義します
- 緊急変更の手順も用意します
7 支援
ISMSを運用するために必要な支援体制(資源、力量、認識、コミュニケーション、文書管理)を定めています。
7.1 資源
関連テンプレート: ISMSマニュアル - 7.1 資源
要求事項の概要
ISMSの確立、実施、維持、継続的改善に必要な資源を決定し、提供する必要があります。
解説
資源には、人的資源(要員)、財務資源(予算)、技術的資源(ツール、システム)、インフラストラクチャなどが含まれます。
実務上のポイント
- 年度予算にセキュリティ関連費用を計上します
- 専任/兼任の要員配置を計画します
- 外部リソース(コンサルタント、審査機関等)の活用も検討します
7.2 力量
関連テンプレート: 教育訓練記録 - 4. 受講者一覧
要求事項の概要
情報セキュリティパフォーマンスに影響する業務を行う人々に必要な力量を決定し、確保する必要があります。
解説
以下の対応が求められます:
- 必要な力量を決定する
- 適切な教育、訓練、経験に基づき、力量があることを確実にする
- 必要な力量を習得するための処置をとり、その有効性を評価する
- 力量の証拠として、文書化した情報を保持する
実務上のポイント
- 職種別の力量要件を定義します
- 教育訓練計画を策定・実施します
- 資格取得(情報処理安全確保支援士、CISSP等)を推奨します
- 研修受講記録を保管します
7.3 認識
関連テンプレート: ISMSマニュアル - 7.3 認識
要求事項の概要
組織の管理下で働く人々は、情報セキュリティ方針、ISMSへの貢献、要求事項に適合しないことの影響を認識する必要があります。
解説
認識すべき事項:
- 情報セキュリティ方針
- 情報セキュリティパフォーマンス向上の便益を含む、ISMSの有効性への自身の貢献
- ISMS要求事項に適合しないことの影響
実務上のポイント
- 全従業員向けのセキュリティ教育を実施します
- eラーニングや標的型メール訓練を活用します
- 入社時教育、定期教育のプログラムを整備します
7.4 コミュニケーション
関連テンプレート: ISMSマニュアル - 7.4 コミュニケーション
要求事項の概要
ISMSに関連する内部・外部のコミュニケーションの必要性を決定する必要があります。
解説
以下を決定する必要があります:
- 何をコミュニケーションするか
- いつコミュニケーションするか
- 誰とコミュニケーションするか
- どのようにコミュニケーションするか
実務上のポイント
- インシデント発生時の報告ルートを明確化します
- 定例会議体(セキュリティ委員会等)を設置します
- 外部への情報開示基準を定めます
7.5 文書化した情報
関連テンプレート: ISMSマニュアル - 7.5 文書化した情報
7.5.1 一般
要求事項の概要
ISMSは、本規格が要求する文書化した情報と、組織がISMSの有効性のために必要と決定した文書化した情報を含む必要があります。
解説
文書化した情報の範囲は、組織の規模、活動・プロセス・製品・サービスの種類、プロセスとその相互作用の複雑さ、人々の力量によって異なります。
7.5.2 作成及び更新
要求事項の概要
文書化した情報の作成・更新時に、適切な識別・記述、形式・媒体、レビュー・承認を確実にする必要があります。
実務上のポイント
- 文書番号体系を定義します
- 版管理ルールを確立します
- 承認プロセス(レビュー者、承認者)を明確化します
- Gitによる版管理が本規格の要求事項と適合します
7.5.3 文書化した情報の管理
要求事項の概要
文書化した情報を、必要なときに利用可能で適切な状態にあり、かつ十分に保護されるよう管理する必要があります。
解説
以下の活動に対処する必要があります:
- 配付、アクセス、検索、利用
- 保管、保存(読みやすさの維持を含む)
- 変更管理(版管理)
- 保持、廃棄
外部からの文書化した情報も、適切に識別し、管理する必要があります。
実務上のポイント
- 文書管理台帳を整備します
- アクセス権限を設定します
- バックアップを実施します
- 廃棄ルールを定義します
- Gitリポジトリでの管理が有効です
8 運用
リスクアセスメントとリスク対応の実行を含む、ISMSの運用について定めています。
8.1 運用の計画及び管理
関連テンプレート: ISMSマニュアル - 8.1 運用の計画及び管理
要求事項の概要
要求事項を満たし、計画(6)で決定した活動を実施するために必要なプロセスを計画し、実施し、管理する必要があります。
解説
以下が求められます:
- プロセスの基準を確立する
- 基準に従ってプロセスを管理する
- プロセスが計画どおり実施されたことの確信を得るために必要な範囲で文書化した情報を利用可能にする
- 計画した変更を管理し、意図しない変更の結果をレビューして悪影響を軽減する
- 外部提供のプロセス、製品、サービスを管理する
実務上のポイント
- 年間運用計画を策定します
- 外部委託先の管理(契約、監督)を実施します
- 変更管理プロセスを運用します
8.2 情報セキュリティリスクアセスメント
関連テンプレート: リスクアセスメント報告書 - 4. リスクアセスメント結果
要求事項の概要
計画した間隔で、または重大な変更が提案されたり発生した場合に、リスクアセスメントを実施する必要があります。
解説
リスクアセスメントは6.1.2で確立した基準を考慮して実施します。結果の文書化した情報を保持する必要があります。
実務上のポイント
- 定期アセスメント(年1回以上)を計画します
- 以下の場合に臨時アセスメントを実施します:
- 新システム導入時
- 組織体制の変更時
- 重大インシデント発生後
- 外部環境の大きな変化時
8.3 情報セキュリティリスク対応
関連テンプレート:
要求事項の概要
情報セキュリティリスク対応計画を実施し、結果の文書化した情報を保持する必要があります。
実務上のポイント
- 管理策の導入状況を追跡します
- 対応計画の進捗を定期的にレビューします
- 残留リスクの変化を監視します
9 パフォーマンス評価
ISMSの有効性を評価するための監視、測定、分析、評価、内部監査、マネジメントレビューについて定めています。
9.1 監視、測定、分析及び評価
関連テンプレート: 監視・測定記録 - 3. 監視・測定項目
要求事項の概要
情報セキュリティパフォーマンスとISMSの有効性を評価する必要があります。
解説
以下を決定する必要があります:
- 情報セキュリティプロセス・管理策を含む、監視・測定の対象
- 妥当な結果を得るための監視・測定・分析・評価の方法
- 監視・測定の実施時期
- 監視・測定の実施者
- 監視・測定結果の分析・評価の時期
- 分析・評価の実施者
結果の証拠として文書化した情報を利用可能にする必要があります。
実務上のポイント
- KPI(重要業績評価指標)を設定します
- 測定指標の例:
- インシデント発生件数
- パッチ適用率
- 教育受講率
- 監査指摘事項の対応率
- ダッシュボードでの可視化を検討します
9.2 内部監査
関連テンプレート:
9.2.1 一般
要求事項の概要
計画した間隔で内部監査を実施し、ISMSが組織自身の要求事項と本規格の要求事項に適合し、有効に実施・維持されているかの情報を提供する必要があります。
9.2.2 内部監査プログラム
要求事項の概要
監査プログラムを計画し、確立し、実施し、維持する必要があります。
解説
監査プログラムには頻度、方法、責任、計画要求事項、報告を含めます。プログラム確立時には、対象プロセスの重要性と過去の監査結果を考慮します。
以下を実施する必要があります:
- 各監査の監査基準と範囲を定義する
- 監査プロセスの客観性・公平性を確保する監査員を選定し、監査を実施する
- 監査結果を関連する管理者に報告する
監査プログラムの実施と監査結果の証拠として文書化した情報を利用可能にする必要があります。
実務上のポイント
- 年間監査計画を策定します
- 監査員の独立性を確保します(自部門は監査しない)
- チェックリストを活用します
- 監査報告書を作成し、是正処置を追跡します
9.3 マネジメントレビュー
関連テンプレート: マネジメントレビュー議事録 - 3. インプット情報
9.3.1 一般
要求事項の概要
トップマネジメントは、計画した間隔でISMSをレビューし、継続的な適切性、妥当性、有効性を確実にする必要があります。
9.3.2 マネジメントレビューへのインプット
要求事項の概要
マネジメントレビューでは以下を考慮する必要があります:
- 前回のマネジメントレビューからの処置の状況
- ISMSに関連する外部・内部の課題の変化
- ISMSに関連する利害関係者のニーズ・期待の変化
- 情報セキュリティパフォーマンスに関するフィードバック:
- 不適合・是正処置
- 監視・測定結果
- 監査結果
- 情報セキュリティ目的の達成状況
- 利害関係者からのフィードバック
- リスクアセスメント結果とリスク対応計画の状況
- 継続的改善の機会
9.3.3 マネジメントレビューの結果
要求事項の概要
マネジメントレビューの結果には、継続的改善の機会とISMSの変更の必要性に関する決定を含める必要があります。
結果の証拠として文書化した情報を利用可能にする必要があります。
実務上のポイント
- 年1回以上実施します(半期ごとを推奨)
- トップマネジメントの出席を確保します
- 議事録を作成し、決定事項を記録します
- 改善指示事項のフォローアップを実施します
10 改善
ISMSの継続的改善と不適合への対処について定めています。
10.1 継続的改善
関連テンプレート: ISMSマニュアル - 10.1 継続的改善
要求事項の概要
ISMSの適切性、妥当性、有効性を継続的に改善する必要があります。
解説
継続的改善は、PDCAサイクルを通じて実現されます。内部監査、マネジメントレビュー、是正処置などの結果を改善活動に活用します。
実務上のポイント
- 改善提案制度を設けます
- ベストプラクティスの共有を促進します
- 他組織のインシデント事例から学びます
10.2 不適合及び是正処置
関連テンプレート:
要求事項の概要
不適合が発生した場合、適切に対処し是正処置をとる必要があります。
解説
不適合発生時には以下を実施します:
- 不適合に対処し、該当する場合は管理・修正し、結果に対処する
- 再発防止のため原因を除去する処置の必要性を評価する:
- 不適合をレビューする
- 原因を特定する
- 類似の不適合が存在するか、発生する可能性があるかを判断する
- 必要な処置を実施する
- 是正処置の有効性をレビューする
- 必要に応じてISMSを変更する
是正処置は、検出された不適合の影響に見合ったものとします。
以下の証拠として文書化した情報を利用可能にする必要があります:
- 不適合の性質と実施した処置
- 是正処置の結果
実務上のポイント
- 是正処置記録を作成・維持します
- 根本原因分析(RCA)を実施します
- 処置の有効性を確認してからクローズします
- 傾向分析により予防的な改善につなげます
関連ページ
- 管理策(附属書A) - 93項目の情報セキュリティ管理策
- 用語集 - ISO 27001関連用語の解説
- ISMSテンプレート - フォーク可能な文書テンプレート