>サイトトップへ >このカテゴリの一覧へ

Q 27006

:2012 (ISO/IEC 27006:2011)

(1)

目  次

ページ

序文  

1

1

  適用範囲  

1

2

  引用規格  

2

3

  用語及び定義  

2

4

  原則 

3

5

  一般要求事項  

3

5.1

  法的及び契約上の事項  

3

5.2

  公平性のマネジメント  

3

5.3

  債務及び財務  

3

6

  組織運営機構に関する要求事項  

4

6.1

  組織構造及びトップマネジメント  

4

6.2

  公平性委員会  

4

7

  資源に関する要求事項  

4

7.1

  経営層及び要員の力量  

4

7.2

  認証活動に関与する要員  

4

7.3

  個々の外部審査員及び外部技術専門家の起用  

6

7.4

  要員の記録  

6

7.5

  外部委託  

6

8

  情報に関する要求事項  

7

8.1

  一般にアクセス可能な情報  

7

8.2

  認証文書  

7

8.3

  被認証組織の登録簿  

7

8.4

  認証の引用及びマークの使用  

7

8.5

  機密保持  

7

8.6

  認証機関とその依頼者との間の情報交換  

8

9

  プロセス要求事項  

8

9.1

  一般要求事項  

8

9.2

  初回審査及び認証  

11

9.3

  サーベイランス活動  

15

9.4

  再認証  

15

9.5

  特別審査  

16

9.6

  認証の一時停止,取消し,又は認証範囲の縮小  

16

9.7

  異議申立て  

16

9.8

  苦情  

16

9.9

  申請者及び依頼者に関する記録  

16


Q 27006

:2012 (ISO/IEC 27006:2011)  目次

(2)

ページ

10

  認証機関に関するマネジメントシステム要求事項  

17

10.1

  マネジメントシステムに関する選択肢  

17

10.2

  選択肢 1JIS Q 9001 に従ったマネジメントシステムの要求事項  

17

10.3

  選択肢 2:マネジメントシステムに対する一般要求事項  

17

附属書 A(参考)依頼組織の複雑さ及び分野固有の側面の分析 

18

附属書 B(参考)審査員の力量の領域例 

21

附属書 C(参考)審査工数  

23

附属書 D(参考)導入された JIS Q 27001:2006 附属書 の管理策のレビューに関する手引  

28


Q 27006

:2012 (ISO/IEC 27006:2011)

(3)

まえがき

この規格は,工業標準化法第 14 条によって準用する第 12 条第 1 項の規定に基づき,一般財団法人日本

情報経済社会推進協会(JIPDEC)から,工業標準原案を具して日本工業規格を改正すべきとの申出があり,

日本工業標準調査会の審議を経て,経済産業大臣が改正した日本工業規格である。

これによって,JIS Q 27006:2008 は改正され,この規格に置き換えられた。

この規格は,著作権法で保護対象となっている著作物である。

この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意

を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実

用新案権に関わる確認について,責任はもたない。


日本工業規格

JIS

 Q

27006

:2012

(ISO/IEC 27006

:2011

)

情報技術−セキュリティ技術−

情報セキュリティマネジメントシステムの審査及び

認証を行う機関に対する要求事項

Information technology-Security techniques-Requirements for bodies

providing audit and certification of information security management systems

序文 

この規格は,2011 年に第 2 版として発行された ISO/IEC 27006 を基に,技術的内容及び構成を変更する

ことなく作成した日本工業規格である。

なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。

組織のマネジメントシステムを審査及び認証する機関に対する基準を規定する日本工業規格として,JIS 

Q 17021

がある。このような審査及び認証する機関を,JIS Q 27001:2006 との適合性に関する情報セキュ

リティマネジメントシステム(以下,ISMS という。

)の審査及び認証を目的として,JIS Q 17021 に適合

しているとして認定するためには,JIS Q 17021 に対して追加の要求事項及び手引が必要である。この規格

JIS Q 27006:2012)は,このような追加の要求事項及び手引を提供する。

この規格は,JIS Q 17021 の構成に沿っている。また,JIS Q 17021 を ISMS 認証に適用するための ISMS

固有の追加の要求事項及び手引は,

“IS”という表記によって識別されている。

この規格において,

“∼なければならない”という表現は,JIS Q 17021 及び JIS Q 27001 の要求事項を

反映する必須要件の規定を示すために用いられている。

“∼ことが望ましい”という表現は,推奨事項を示

すために用いられている。

この規格の目的の一つは,認定機関が認証機関を評価しようとする場合に用いる規格の適用を,より有

効に整合できるようにすることである。

注記  この規格において,“マネジメントシステム”及び“システム”という用語は,区別なく用いら

れている。マネジメントシステムの定義は,JIS Q 9000:2006 に規定されている。この規格で用

いられているマネジメントシステムを,他の種類のシステム,例えば,IT システムと混同すべ

きではない。

適用範囲 

この規格は,JIS Q 17021 及び JIS Q 27001 に規定する要求事項に加えて,ISMS の審査及び認証を行う

機関に対する要求事項を規定し,かつ,手引を提供する。この規格は,ISMS 認証を行う認証機関の認定

を支援することを主として意図している。

この規格に含まれる要求事項は,ISMS 認証を行う機関によって,その力量及び信頼性の観点から実証

される必要があり,また,この規格に含まれる手引は,ISMS 認証を行う機関に対し,要求事項に関する


2

Q 27006

:2012 (ISO/IEC 27006:2011)

追加の解釈を提供する。

注記 1  この規格は,認定,同等性評価又は他の審査プロセスに対する基準文書として使用できる。

注記 2  この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。

ISO/IEC 27006:2011

,Information technology−Security techniques−Requirements for bodies

providing audit and certification of information security management systems

(IDT)

なお,対応の程度を表す記号“IDT”は,ISO/IEC Guide 21-1 に基づき,

“一致している”

ことを示す。

引用規格 

次に掲げる規格は,この規格に引用されることによって,この規格の規定の一部を構成する。これらの

引用規格のうちで,西暦年を付記してあるものは,記載の年の版を適用し,その後の改正版(追補を含む。

は適用しない。西暦年の付記がない引用規格は,その最新版(追補を含む。

)を適用する。

JIS Q 17021:2011

  適合性評価−マネジメントシステムの審査及び認証を行う機関に対する要求事項

注記  対応国際規格:ISO/IEC 17021:2011,Conformity assessment−Requirements for bodies providing

audit and certification of management systems

(IDT)

JIS Q 19011

  マネジメントシステム監査のための指針

注記  対応国際規格:ISO 19011,Guidelines for auditing management systems(IDT)

JIS Q 27001:2006

  情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事

注記  対応国際規格:ISO/IEC 27001:2005,Information technology−Security techniques−Information

security management systems

−Requirements(IDT)

用語及び定義 

この規格で用いる主な用語及び定義は,JIS Q 17021 及び JIS Q 27001 によるほか,次による。

3.1

登録証(certificate)

認証機関が認定の条件に従って発行する,認定シンボル又は認定の表明が記載されている登録証。

3.2

認証機関(certification body)

公表されている ISMS 規格及び依頼組織の ISMS の下で要求される他の補足文書に対して,その ISMS

を審査し,かつ,認証する第三者機関。

3.3

認証文書(certification document)

依頼組織の ISMS が,

特定した ISMS 規格及び依頼組織の ISMS の下で要求される他の補足文書に適合し

ていることを示す文書。

3.4

マーク(mark)

法的に登録された商標,又はその他の方法によって保護されたシンボルで,認定機関又は認証機関の規

則に基づいて発行されるもの。このマークは,組織の運用するマネジメントシステムに対する十分な信頼

が実証されていること,又は関連する製品若しくは個人が特定の規格の要求事項を満たしていることを示


3

Q 27006

:2012 (ISO/IEC 27006:2011)

す。

3.5

組織(organization)

法人化されているか否か,公営か民営かにかかわらず,会社,法人,事業所,企業,当局,団体若しく

はそれらの一部又は組合せで,自らを律する機能と管理とが存在し,情報セキュリティを働かせることを

確実にできるもの。

原則 

原則は,JIS Q 17021:2011 の箇条 による。

一般要求事項 

5.1 

法的及び契約上の事項 

法的及び契約上の事項は,JIS Q 17021:2011 の 5.1 による。

5.2 

公平性のマネジメント 

公平性のマネジメントは,JIS Q 17021:2011 の 5.2 によるほか,次の ISMS 固有の要求事項及び手引によ

る。

5.2.1 IS 5.2

利害抵触 

認証機関は,コンサルティングとみなされずに,かつ,利害抵触の可能性があるとされずに,次の業務

を遂行できる。

a)

認証業務。これには,情報連絡会議,計画の打合せ,文書の調査,審査(ISMS 内部監査又は内部セ

キュリティレビューではない。

,又は不適合のフォローアップを含む。

b)

研修コースの手配及び講師としての参加。ただし,このコースが情報セキュリティマネジメント,関

連するマネジメントシステム又は審査に関連する場合は,認証機関は,誰でも自由に入手できる一般

的な情報及び助言の提供にとどめなければならない。つまり,c)の要求事項に違反するような,企業

固有の助言を提供してはならない。

c)

認証審査規格の要求事項についての認証機関の解釈を記載した情報の,要請に応じた提供又は公開

9.1.1.1 参照)

d)

認証審査を受ける準備が整っているかの決定のためだけを目的とする審査前の活動。ただし,そのよ

うな活動が,5.2.1 の違反になるような勧告又は助言をしてはならない。また,認証機関は,審査前活

動が 5.2.1 の要求事項に違反しないこと,

及び結果的に認証審査期間の短縮根拠として利用されないこ

とを確認できなければならない。

e)

認定範囲以外の規格又は規制に従った,第二者審査及び第三者審査の実行

f)

認証審査及びサーベイランスにおける価値の付加。例えば,特定の解決策の提示を含まない,審査中

に明らかになった改善の機会の明示

認証機関は,認証の対象となる依頼組織の ISMS の ISMS 内部監査を提供する機関(個人を含む。

)から

独立していなければならない。

5.3 

債務及び財務 

債務及び財務は,JIS Q 17021:2011 の 5.3 による。


4

Q 27006

:2012 (ISO/IEC 27006:2011)

組織運営機構に関する要求事項 

6.1 

組織構造及びトップマネジメント 

組織構造及びトップマネジメントは,JIS Q 17021:2011 の 6.1 による。

6.2 

公平性委員会 

公平性委員会は,JIS Q 17021:2011 の 6.2 による。

資源に関する要求事項 

7.1 

経営層及び要員の力量 

経営層及び要員の力量は,JIS Q 17021:2011 の 7.1 によるほか,次の ISMS 固有の要求事項及び手引によ

る。

7.1.1 IS 

7.1.1

一般考慮事項 

ISMS

認証を遂行するために要求される力量における必須の要素は,審査対象の活動及び関連する情報

セキュリティの課題に対して,個々の要員の技能及びそれら要員の全体としての力量が適切となるように

要員を選定し,供給し,かつ,管理することである。

7.1.1.1 

力量分析及び契約のレビュー 

認証機関は,審査する依頼組織の ISMS に関連する技術及び法律の動向に関する知識をもっていること

を確実にしなければならない。

認証機関は,業務を行う全ての専門分野において,情報セキュリティマネジメントに関して認証機関が

利用可能とすることが必要な力量を分析する有効なシステムをもたなければならない。

各依頼組織について,認証機関は,契約をレビューする前に,各産業分野の要求事項についての力量分

析(評価されたニーズに応じた技能のアセスメント)を完了していることを,実証できなければならない。

認証機関は,次に,この力量分析の結果に基づいて,依頼組織との契約をレビューしなければならない。

認証機関は,特に,次の活動を遂行する力量をもっていることを実証できなければならない。

a)

依頼組織の活動分野及び関連する事業リスクを理解する。

b)

その組織の特定された活動,並びに情報セキュリティに関する,資産に対する脅威,ぜい弱性及び依

頼組織に及ぼす影響に関連して,認証を行うために認証機関に必要とされる力量を特定する。

c)

必要な力量を利用できることを確認する。

7.1.1.2 

資源 

認証機関の経営層は,審査員が活動する認証の範囲で要求される審査員の業務を遂行する力量を個々の

審査員がもっているか否かを判断するために必要なプロセス及び資源をもたなければならない。認証機関

は,審査員の力量を,検証された経歴,及び特定の教育・訓練又は要点説明(ブリーフィング)によって

立証してもよい(

附属書 参照)。認証機関は,サービスを提供する全ての依頼者と情報交換を有効にで

きなければならない。

7.1.2 IS.7.1.2 

力量の判断基準の決定 

JIS Q 17021

の力量の判断基準を支援する知識及び技能に関する追加の情報を,

附属書 に示す。

7.2 

認証活動に関与する要員 

認証活動に関与する要員は,JIS Q 17021:2011 の 7.2 によるほか,次の ISMS 固有の要求事項及び手引に

よる。

7.2.1 IS 7.2

認証機関の要員の力量 

認証機関は,次の事項に対する力量をもつ要員をもたなければならない。


5

Q 27006

:2012 (ISO/IEC 27006:2011)

a)

審査に適切な審査チームとなるよう ISMS 審査員を選定し,その力量を検証する。

b) ISMS

審査員に要点説明を行い,必要な教育・訓練を手配する。

c)

認証の授与,維持,取消し,一時停止,拡大,又は縮小を決定する。

d)

苦情及び異議申立てのプロセスを定め,それを運用する。

7.2.1.1 

審査チームの教育・訓練 

認証機関は,次の事項を確実にするために,審査チームの教育・訓練に関する基準をもたなければなら

ない。

a) ISMS

規格及び他の関連する規準文書の知識

b)

情報セキュリティについての理解

c)

事業上の観点からのリスクアセスメント及びリスクマネジメントについての理解

d)

審査対象となる活動についての専門的知識

e) ISMS

に関連した規制要求事項についての一般知識

f)

マネジメントシステムについての知識

g)  JIS Q 19011

に基づく監査の原則についての理解

h) ISMS

の有効性のレビュー及び管理策の有効性の測定についての知識

このような教育・訓練の要求事項は,審査チームのメンバー間で分担できる d)を除き,審査チームの全

てのメンバーに適用する。

7.2.1.1.1

ある特定の認証審査を担当させる審査チームを選定する場合,認証機関は,その審査チームの

技能が担当する審査に対して適切であることを確実にしなければならない。審査チームは,次の事項を満

たさなければならない。

a)

認証が求められている ISMS の範囲内の特定の活動に関する適切な専門的知識をもち,かつ,該当す

る場合は,それらの特定の活動に関連する手順及びそれら特定の活動の潜在的な情報セキュリティリ

スクについての適切な専門的知識をもつ(審査員でない技術専門家がこの役割を果たしてもよい。

b)

依頼組織の活動,製品又はサービスの情報セキュリティ面の管理に関して,信頼できる ISMS 認証審

査を行うのに十分な程度,依頼組織について理解している。

c)

依頼組織の ISMS に適用される規制要求事項を適切に理解している。

7.2.1.1.2

必要な場合,審査チームは,審査に関係する専門分野において特定の力量を,実証できる技術

専門家によって補強されてもよい。その場合,技術専門家は ISMS 審査員の代わりとしての役割を果たす

ことができないが,審査対象のマネジメントシステムに照らして,技術的な適切性に関する事項について

審査員に助言できることに留意することが望ましい。認証機関は,次を行うための手順をもたなければな

らない。

a)

力量,教育・訓練,資格及び経験に基づいて,審査員及び技術専門家を選定する。

b)

初めに審査員及び技術専門家の認証審査中の行動を評価し,その後も審査員及び技術専門家のパフォ

ーマンスを監視する。

7.2.1.2 

認証に関する決定プロセスの管理 

管理機能を担う者は,JIS Q 27001 の要求事項に対する ISMS 認証の授与,維持,拡大,縮小,一時停止,

及び取消しに関する決定プロセスを管理する,専門的な力量及び能力をもたなければならない。

7.2.1.3 ISMS

審査を行う審査員の教育,業務経験,審査員研修及び審査経験に関する前提条件のレベル 

7.2.1.3.1 ISMS

審査チームの各審査員の基準は,次によらなければならない。審査員は,次を満たさなけ


6

Q 27006

:2012 (ISO/IEC 27006:2011)

ればならない。

a)

中等レベルの教育

1)

を修了している。

1)

中等レベルの教育とは,初等教育の後にくる国家の教育制度の一部で,大学又は同等の教育

機関への入学前に修了するものをいう。

b)

情報技術分野において 4 年以上の常勤による実務経験がある。このうちの 2 年以上は,情報セキュリ

ティに関連した役割又は職務に就いている。

c) 5

日間の研修を成功裏に修了している。この研修は,研修の範囲が,ISMS 審査及び審査のマネジメン

トを含む場合には適切とみなす。

d)

審査員として活動する職責を担う前に,

情報セキュリティの全審査過程を経験している。

この経験は,

文書及びリスク分析のレビュー,ISMS 導入の審査,並びに審査報告の作成を含む,最低 4 回延べ 20

日間以上にわたる認証審査への参加によって得ていることが望ましい。

e)

これらの経験は,全て合理的な範囲で最近のものである。

f)

複雑な業務を広い視野から理解できる,また,より大きな依頼組織においては個々の部門の役割を理

解できる。

g)

情報セキュリティ及び審査に関する知識及び技能を,専門能力の継続的開発を通して最新の状態に維

持している。

技術専門家は,a),b),e)及び f)の基準を満たさなければならない。

7.2.1.3.2

7.2.1.3.1

の要求事項に加えて,審査チームリーダーは,次の要求事項を満たさなければならな

い。この要求事項を満たしていることを,指導及び監督の下での審査において実証しなければならない。

a)

認証審査プロセスを管理する知識及び技能をもっている。

b)

少なくとも 3 回の完全な ISMS 審査において,審査員を経験している。

c)

口頭及び書面の両方で,効果的な意思疎通の能力があることを実証している。

7.3 

個々の外部審査員及び外部技術専門家の起用 

個々の外部審査員及び外部技術専門家の起用は,JIS Q 17021:2011 の 7.3 によるほか,次の ISMS 固有の

要求事項及び手引による。

7.3.1 IS 7.3

外部審査員及び外部技術専門家の審査チーム構成員への起用 

審査チームの構成員として外部審査員及び外部技術専門家を活用する場合,認証機関は,当該審査員又

は技術専門家が力量をもち,

この規格の該当規定を順守していることを確実にしなければならない。

また,

認証機関は,ISMS 又は関連するマネジメントシステムの設計,導入又は維持に,直接的であれ又は雇用

主を介してであれ,当該審査員又は技術専門家が公平性を損なうような形で関与していないことを確実に

しなければならない。

7.3.1.1 

技術専門家の起用 

プロセス及び情報セキュリティの課題,並びに依頼組織に影響する法令に関して,特定の知識をもって

いるが,7.2 の基準を完全には満たしていない技術専門家を審査チームに加えてもよい。技術専門家は審査

員の監督の下で業務を行わなければならない。

7.4 

要員の記録 

要員の記録は,JIS Q 17021:2011 の 7.4 による。

7.5 

外部委託 

外部委託は,JIS Q 17021:2011 の 7.5 による。


7

Q 27006

:2012 (ISO/IEC 27006:2011)

情報に関する要求事項 

8.1 

一般にアクセス可能な情報 

一般にアクセス可能な情報は,JIS Q 17021:2011 の 8.1 によるほか,次の ISMS 固有の要求事項及び手引

による。

8.1.1 IS 8.1

認証の授与,維持,拡大,縮小,一時停止及び取消しに関する手順 

認証機関は,依頼組織に対して,JIS Q 27001 及び認証に必要な他の文書に適合する,文書化され,かつ,

導入された ISMS をもつよう要求しなければならない。

認証機関は,次の事項についての文書化された手順をもたなければならない。

a)  JIS Q 17021

及びその他の関連文書に従って行う,依頼組織の ISMS の初回認証審査。

b)  JIS Q 17021

に従って定期的に実施する依頼組織の ISMS のサーベイランス及び再認証審査。このサー

ベイランス及び再認証審査は,依頼組織の ISMS が該当する要求事項に継続的に適合していること,

及び依頼組織が全ての不適合を是正するために適時に是正処置をとっていることを検証し,かつ,記

録するために行う。

8.2 

認証文書 

認証文書は,JIS Q 17021:2011 の 8.2 によるほか,次の ISMS 固有の要求事項及び手引による。

8.2.1 

IS 8.2 ISMS

認証文書 

認証機関は,ISMS を認証した各依頼組織に対し,権限を与えられた者が署名した,書簡又は登録証の

ような認証文書を交付しなければならない。これらの認証文書は,依頼組織及び認証の対象となる各情報

システムのために,授与された認証の範囲と,ISMS を認証するに当たって基準とした ISMS 規格である

JIS Q 27001

及び/又は ISO/IEC 27001 とを明記しなければならない。また,登録証には,適用宣言書の

特定の版の引用を含めなければならない。

注記  適用宣言書への変更で,認証範囲における管理策の適用(coverage)を変更しないものは,登

録証の更新は,必ずしも求められない。

8.3 

被認証組織の登録簿 

被認証組織の登録簿は,JIS Q 17021:2011 の 8.3 による。

8.4 

認証の引用及びマークの使用 

認証の引用及びマークの使用は,JIS Q 17021:2011 の 8.4 によるほか,次の ISMS 固有の要求事項及び手

引による。

8.4.1 IS 8.4

認証マークの管理 

認証機関は,ISMS 認証マークの所有権,使用及び表示を適切に管理しなければならない。認証機関が

ISMS

が認証されていることを示すためにマークを使用する権利を与えたときには,認証機関は,依頼組

織が指定されたマークを,認証機関が書面で承諾した方式でだけ使用することを確実にしなければならな

い。認証機関は,認証マークを,製品に付けること,又は製品の適合性を示すと解釈されるような方法で

使用する権利を依頼組織に与えてはならない。

8.5 

機密保持 

機密保持は,JIS Q 17021:2011 の 8.5 によるほか,次の ISMS 固有の要求事項及び手引による。

8.5.1 IS 8.5

組織の記録へのアクセス 

認証機関は,認証審査の前に,機密情報又は取扱いに慎重を要する情報を含んでいるために,審査チー

ムによるレビューに利用できない ISMS の記録がある場合は,報告するよう依頼組織に求めなければなら

ない。認証機関は,これらの記録がなくても ISMS が適切に審査できるかを判断しなければならない。認


8

Q 27006

:2012 (ISO/IEC 27006:2011)

証機関は,これらの特定された機密又は取扱いに慎重を要する記録のレビューなしでは ISMS の審査を適

切に行えないという結論に達した場合には,適切なアクセスの手配を依頼組織が行うまで,認証審査を開

始できないことを依頼組織に通知しなければならない。

8.6 

認証機関とその依頼者との間の情報交換 

認証機関とその依頼者との間の情報交換は,JIS Q 17021:2011 の 8.6 による。

プロセス要求事項 

9.1 

一般要求事項 

一般要求事項は,JIS Q 17021:2011 の 9.1 によるほか,次の ISMS 固有の要求事項及び手引による。

9.1.1 

IS 9.1.1 ISMS

審査に対する一般要求事項 

9.1.1.1 

認証審査基準 

依頼者の ISMS を審査するための基準は,JIS Q 27001 及び依頼者が遂行する機能に関連する認証に必要

なその他の文書に示されているものでなければならない。特定の認証プログラムにこれらの文書を適用す

ることについての説明が求められる場合に,提供する内容は,所要の専門能力をもつ適切で公平な委員会

又は個人が作成し認証機関が公表しなければならない。

9.1.1.2 

方針及び手順 

認証機関の文書には,認証プロセスの実施に関する方針及び手順を含めなければならない。これには,

ISMS

の認証に用いる文書の利用及び適用の点検と,依頼組織の ISMS の審査及び認証の手順の点検とを含

む。

9.1.1.3 

審査チーム 

認証機関は,審査チームを正式に任命し,そのチームに適切な作業文書を与えなければならない。審査

計画及び審査日は,依頼組織と合意しなければならない。審査チームに与える業務を明確に定め,依頼組

織にも通知しなければならない。この業務命令は,依頼組織の組織運営機構,方針及び手順を調査し,か

つ,これらが認証範囲に関する全ての要求事項を満足していることを確認し,さらにこれらの手順が実施

され,依頼組織の ISMS に対して信頼を与えるものであることを確認するよう,審査チームに要求しなけ

ればならない。

9.1.2 IS 

9.1.2

認証範囲 

審査チームは,定義された範囲に含まれる依頼組織の ISMS を,全ての適用される認証要求事項を基準

として審査しなければならない。認証機関は,依頼組織の ISMS の適用範囲及び境界が,事業・組織・所

在地・資産・技術の特徴の見地から,明確に定義されていることを確実にしなければならない。認証機関

は,依頼組織が自らの ISMS の適用範囲の中で JIS Q 27001:2006 の 1.2 に規定する要求事項を取り扱って

いることを確認しなければならない。

認証機関は,JIS Q 27001 の規定するように,依頼組織の情報セキュリティのリスクアセスメント及びリ

スク対応が当該組織の活動を適切に反映しており,その活動の境界まで及んでいることを確実にしなけれ

ばならない。また,認証機関は,依頼組織の ISMS の適用範囲及び適用宣言書の中にこのことが反映され

ていることを確認しなければならない。

認証機関は,依頼組織が,ISMS の適用範囲に完全には含まれないサービス又は活動とのインタフェー

スを,認証の対象となる ISMS の中で取り扱っていること,及び自らの情報セキュリティのリスクアセス

メントに含めていることを確実にしなければならない。このような状況の一例には,他の組織と施設を共

有するケースがある(例えば IT システム,データベース,通信システム)


9

Q 27006

:2012 (ISO/IEC 27006:2011)

9.1.3 IS 

9.1.3

審査工数 

認証機関は,初回審査,サーベイランス審査又は再認証審査に関連する全ての活動を行うのに十分な時

間を審査員に与えなければならない。割り当てられる時間は,次の要素を考慮しなければならない。

a) ISMS

適用範囲の規模(例えば,使用する情報システム数,従業員数)

b) ISMS

の複雑さ(例えば,情報システムの重要性,ISMS のリスクの状況)

附属書 も参照。

c) ISMS

の適用範囲内で行われる事業の種類

d)

その ISMS の様々な構成要素(例えば,導入された管理策,文書及び/又はプロセス管理,是正処置

又は予防処置)を導入する場合に使用される,技術の範囲及び多様性

e)

事業所の数

f)

以前に実証された ISMS のパフォーマンス

g) ISMS

の適用範囲内で用いられる外部委託及び第三者との取決めの範囲

h)

認証に適用される規格及び規制

審査工数に関する手引を,

附属書 に示す。認証機関は,初回審査,サーベイランス審査及び再認証審

査に使用する工数の根拠を具体的に示すことができるように,又はその正当性を示すことができるように

準備しておかなければならない。

9.1.4 IS 

9.1.4

複数サイト(Multiple sites 

9.1.4.1 ISMS

認証における複数サイトのサンプリングに関する決定は,品質マネジメントシステムにお

ける同様の決定より更に複雑である。依頼組織が次の a)c)の基準を満たす複数の事業所(sites)をもっ

ている場合,認証機関は,複数サイトの認証審査に対してサンプルに基づいた手法の利用を検討してもよ

い。

a)

全ての事業所が同一の ISMS の下で運営されている。この ISMS は,中央で管理・監査されており,

かつ,中央でマネジメントレビューが行われる。

b)

全ての事業所が,依頼組織の ISMS 内部監査プログラムに含まれている。

c)

全ての事業所が,依頼組織の ISMS マネジメントレビュープログラムに含まれている。

9.1.4.2

サンプルに基づいた手法の適用を希望する認証機関は,次の事項を確実にするための手順を備え

なければならない。

a)

最初に行う契約のレビューによって,サンプリングの適切なレベルが決定されるように,事業所間の

違いを可能な限り特定する。

b)

認証機関が,次の要求事項を考慮して,代表し得る数の事業所をサンプリングしたものである。

1)

本部及びその事業所の内部監査の結果

2)

マネジメントレビューの結果

3)

各事業所の規模の違い

4)

各事業所の事業目的の違い

5)

その ISMS の複雑さ

6)

各種事業所の情報システムの複雑さ

7)

作業慣行の違い

8)

行っている活動の違い

9)

重要な情報システム,又は取扱いに慎重を要する情報を処理する情報システムとの潜在的相互作用

10)

法的要求事項の違うもの全て


10

Q 27006

:2012 (ISO/IEC 27006:2011)

c)

依頼組織の ISMS の適用範囲内における全ての事業所から,代表サンプルを選択する。この選択は,

無作為的要素だけでなく,b)の要因を反映する判断に基づく選択によらなければならない。

d)

認証に先立って,その ISMS に含まれる,重大なリスクの対象となる全ての事業所を審査する。

e)

審査プログラムが,上記の要求事項に照らして作成されており,また,3 年以内に ISMS の認証の範

囲内の代表サンプルを,網羅するようになっている。

f)

本部又はある一つの事業所で不適合が観察された場合は,その是正処置の手順をその登録証に含まれ

る本部及び全ての事業所に適用する。

IS 9.1.5

に規定する審査は,一つの ISMS が全ての事業所に適用されること,及びそれが中央の管理を運

用レベルに行き渡らせることを確実にするために,依頼組織の本部の活動を取り扱わなければならない。

この審査では,上記の事項を全て取り扱わなければならない。

9.1.5 IS 

9.1.5

審査方法 

認証機関は,依頼組織に次の事項を実証するように要求する手順をもたなければならない。次の事項と

は,ISMS 内部監査を計画していること,並びにそのプログラム及び手順を運用可能であり,それが運用

可能となっていることを示せることである。

認証機関の手順は,ISMS を導入する特定の方法,又は文書及び記録の特定の様式を前提としてはなら

ない。認証の手順は,依頼組織の ISMS が JIS Q 27001 の要求事項並びに依頼組織の方針及び目的を満た

していることの確立に焦点を当てなければならない。

審査計画は,適切に,その審査で利用されるネットワーク支援の審査手法を特定しなければならない。

注記  ネットワーク支援の審査手法には,例えば,電話・テレビ会議,ウェブ会議,双方向インター

ネットによる情報伝達,及び ISMS 文書及び/又は ISMS プロセスへの電子的な遠隔アクセス

を含めてもよい。このような手法の狙いは,審査の有効性及び効率性を高めること,並びに審

査プロセスの完全性を支えるものであることが望ましい。

9.1.6 IS 

9.1.6

認証審査報告書 

9.1.6.1

認証機関の報告の手順は,次の事項を確実にしなければならない。

a)

依頼組織の審査現場を離れる前に審査チームと依頼組織の経営層との間で会議をもつ。その会議では,

審査チームは,依頼組織に次の事項を提供する。

1)

特定の認証要求事項に対する依頼組織の ISMS の適合性に関する書面又は口頭による指摘

2)

所見及びその根拠について依頼組織が質問する機会

b)

審査チームは,全ての認証要求事項に対する依頼組織の ISMS の適合性に関する所見の審査報告書を

認証機関に提出する。

9.1.6.2

この審査報告書は,次の情報又は次の情報への参照を提供しなければならない。

a)

文書レビューの要約を含む審査の詳細

b)

依頼組織の情報セキュリティリスク分析に関する認証審査の詳細

c)

審査工数の実績合計,並びに文書レビュー,リスク分析の評価,現地審査,及び審査報告書の作成に

要した時間の内訳

d)

審査で使用した調査項目,それらを選択した根拠及び採用した方法

9.1.6.3

審査報告書は,十分に詳細で,認証の決定を裏付けし,かつ,それを支えなければならない。ま

た,この報告書は,次の事項を含まなければならない。

a)

審査で対象とした範囲(例えば,認証要求事項及び審査対象とした事業所)

。これには,重要な審査証


11

Q 27006

:2012 (ISO/IEC 27006:2011)

跡及び利用した審査方法を含める(IS 9.1.5 参照)

b)

観察された事項,肯定的(例えば,特筆すべき特性)及び否定的(例えば,潜在的な不適合)なもの。

c)

特定された全ての不適合の詳細で,これらが不適合とされる客観的証拠,及びこれらを不適合とする

JIS Q 27001

の要求事項又は認証のために要求される他の文書類の要求事項の引用によって裏付けら

れたもの。

d)

依頼組織の ISMS の認証要求事項に対する適合性に関する見解。これには,不適合についての明確な

表明,適用宣言書の版の引用,及び該当する場合には,依頼組織の以前の認証審査の結果との有用な

比較を含める。

回答が記入された質問状,チェックリスト,観察記録,ログ,又は審査員のノートは,審査報告書を構

成する一部となる場合もある。これらの方法を使用する場合,認証の決定に裏付けを与える証拠として,

これらの文書を認証機関に提出しなければならない。審査中に評価したサンプルに関する情報を,この審

査報告書又は他の認証文書に含めなければならない。

この報告書では,依頼組織がその ISMS に信頼を与えるために採用している内部の組織体制及び手順の

適切性を考慮しなければならない。

報告に関する要求事項は,JIS Q 17021:2011 の 9.1.10 による。さらに,この報告書には,次の事項を含

めなければならない。

− ISMS 内部監査及びマネジメントレビューに対する信頼度

− ISMS の導入及び有効性に関する,否定的並びに肯定的な最も重要な観察された事項の要約

−  依頼組織の ISMS を認証することが望ましいか否かについての審査チームの推薦。これには,この推

薦を立証する情報を含める。

9.2 

初回審査及び認証 

初回審査及び認証は,JIS Q 17021:2011 の 9.2 によるほか,次の ISMS 固有の要求事項及び手引による。

9.2.1 IS 

9.2.1

審査チームの力量 

審査チームの力量は,7.2 によるほか,次の認証審査に関する要求事項による。サーベイランス活動につ

いては,計画されたサーベイランス活動に関する要求事項だけとする。

次の要求事項は,審査チーム全体に適用する。

a)

次の各事項について少なくとも 1 名の審査チームメンバーは,審査チーム内で責任をとるために,認

証機関の基準を満たしていなければならない。

1)

審査チームの管理

2) ISMS

に適用可能な,マネジメントシステム及びプロセス

3)

該当する特定の情報セキュリティ分野における法令及び規制の要求事項に関する知識

4)

情報セキュリティに関連する脅威及びインシデントの傾向の特定

5)

依頼組織のぜい弱性の特定,これらのぜい弱性が悪用される可能性の理解,及びその影響の理解,

それらに対する軽減策及び管理策についての理解

6) ISMS

管理策及びその導入についての知識

7) ISMS

有効性のレビュー及び管理策の測定についての知識

8)

関連及び/又は関係する ISMS 規格,産業界における最適な慣行,セキュリティ方針及び手順

9)

インシデント取扱い方法及び事業継続についての知識

10)

有形・無形の情報資産及び影響分析についての知識


12

Q 27006

:2012 (ISO/IEC 27006:2011)

11)

セキュリティに関連するか,又はセキュリティが課題となっている最新技術の知識

12)

リスクマネジメントのプロセス及び方法についての知識

b)

審査チームは,依頼組織の ISMS におけるセキュリティインシデントを示すものから適切な ISMS の

要素まで遡ることのできる力量をもっていなければならない。

c)

審査チームは,上記項目の適切な業務経験をもち,かつ,それらを具体的に適用したことがなければ

ならない(これは,一人の審査員が情報セキュリティの全領域の経験を全てもつ必要があることを意

味するものではなく,審査チーム全体として,審査対象の ISMS 適用範囲を網羅するのに十分な認識

及び経験をもっていなければならない。

審査チームは 1 名で構成してもよいが,その人は,a)の基準を全て満たしていなければならない。

9.2.1.1 IS 

9.2.1.1

審査員の力量の実証 

審査員は,9.2.1 の a)c)に示したような,自らの知識及び経験を,例えば,次の事項によって実証でき

なければならない。

a) ISMS

固有の認知された資格

b)

審査員としての登録

c)

承認 ISMS 研修コース

d)

専門能力の継続的開発についての最新の記録

e)

実際の依頼組織システムの ISMS 審査プロセスを遂行する審査員について,立会いによる実証

9.2.2 IS 

9.2.2

初回審査のための一般準備 

認証機関は,認証審査の実施に必要な手配を全て行うことを依頼組織に要求しなければならない。この

手配には,認証機関が行う認証審査,再認証審査及び苦情解決を目的とした,文書の調査,並びに全ての

領域,記録(内部監査報告書及び情報セキュリティに関する独立したレビューの報告書を含む。

)及び要員

へのアクセスのための用意を含む。

依頼者は,現地での認証審査前に少なくとも次の情報を提供しなければならない。

a) ISMS

及びその対象となる活動に関わる一般情報

b)  JIS Q 27001:2006

の 4.3.1 で要求される ISMS 文書の写し及び必要な場合,関連文書の写し

9.2.3 IS 

9.2.3

初回認証審査 

9.2.3.1 IS 

9.2.3.1

第一段階審査 

審査のこの段階で,認証機関は,JIS Q 27001 の 4.3.1 で要求されている文書を含む,依頼組織の ISMS

の設計に関する文書を入手しなければならない。

第一段階審査の目的は,依頼組織の ISMS 基本方針及び目的に照らしてその ISMS を理解すること,及

び,特に,依頼組織の審査に対する準備状況を理解することによって,第二段階審査を計画する上での焦

点を明確にすることである。

第一段階審査は,文書レビューを含まなければならないが,これに限定しないことが望ましい。認証機

関は,いつどこで文書レビューを行うかについて,依頼組織と合意しなければならない。全ての場合にお

いて,文書レビューは,第二段階審査を開始する前に完了させておかなければならない。

第一段階審査の結果は,報告書として文書化しなければならない。認証機関は,第二段階審査への移行

を決定する前に,第二段階審査のための必要な力量を備えた審査チームメンバーを選定するために,第一

段階審査の審査報告書をレビューしなければならない。

認証機関は,第二段階審査では,詳細な調査のために別種の情報及び記録が追加して必要になるかもし


13

Q 27006

:2012 (ISO/IEC 27006:2011)

れないことを,依頼組織に知らせておかなければならない。

9.2.3.2 IS 

9.2.3.2

第二段階審査 

9.2.3.2.1

第二段階審査は,常に依頼組織の事業所で実施する。認証機関は,第一段階審査の審査報告書

に文書化された所見に基づき,第二段階審査を行うための審査計画を立案する。第二段階審査の目的は,

次のとおりである。

a)

依頼組織が自らの方針,目的及び手順を守っていることを確認する。

b)

その ISMS が JIS Q 27001 の全ての要求事項に適合していること,並びに ISMS が依頼組織の基本方針

及び目的を達成しつつあることを確認する。

9.2.3.2.2

そのために,この審査は,依頼組織の次の事項に焦点を当てなければならない。

a)

情報セキュリティに関連するリスクのアセスメント,及びそのアセスメントが比較可能で,かつ,再

現可能な結果を生み出すこと

b)  JIS Q 27001:2006

の 4.3.1 に掲げられた文書化に関する要求事項

c)

そのリスクアセスメント及びリスク対応のプロセスに基づいた,管理目的及び管理策の選択

d)

その ISMS の目的に照らして報告及びレビューされる,ISMS の有効性のレビュー,及び情報セキュリ

ティ管理策の有効性の測定

e) ISMS

内部監査及びマネジメントレビュー

f)

情報セキュリティ基本方針に対する経営陣の責任

g)

選択・導入された管理策,適用宣言書,リスクアセスメント・リスク対応のプロセスの結果,及び ISMS

基本方針・目的の間の対応

h)

管理策の導入(

附属書 参照)。ここでは,表明した目的を達成するために,管理策が導入され,か

つ,有効であるかを決定するための,その組織による管理策の有効性の測定[上記 d)参照]を考慮す

る。

i)

プログラム,プロセス,手順,記録,内部監査,及びその ISMS の有効性のレビュー。これらは,経

営陣の決定,並びに ISMS 基本方針及び目的が,これらからたどれることを確実にするものである。

9.2.3.3 

IS 9.2.3.3 ISMS

審査の固有の要素 

認証機関の役割は,情報セキュリティに関する,資産に対する脅威,ぜい弱性,及び依頼組織に及ぼす

影響を,特定,調査及び評価するための手順の確立及び維持において,依頼組織が一貫していることを確

立することである。認証機関は,次の事項を実施しなければならない。

a)

セキュリティに関する脅威の分析が依頼組織の運営にとって関連があり,かつ,適切であることを実

証するよう依頼組織に求める。

注記  依頼組織は,その組織の情報セキュリティに関連するリスクのうちどれが重大かを特定する

ための基準を定め,かつ,これを行うための手順を作成する責任を負う。

b)

情報セキュリティに関する,資産に対する脅威,ぜい弱性及び影響を特定,調査及び評価するための

依頼組織の手順,並びにこの手順を適用した結果が,依頼組織の基本方針,目的及び目標と整合して

いるかどうかを確立する。

さらに,認証機関は,重大さの分析に用いられる手順が確かで,適切に導入されているか否かを確立し

なければならない。情報セキュリティに関する,資産に対する脅威,ぜい弱性,又は依頼組織に及ぼす影

響が,重大であると特定される場合,それらは ISMS 内で管理されていなければならない。


14

Q 27006

:2012 (ISO/IEC 27006:2011)

9.2.3.3.1 

法令及び規制の順守 

法規制順守の維持及び評価は,その依頼組織の責任である。この点において,認証機関は,自らの役割

を,ISMS が機能していることの信頼を確立するためのチェック及びサンプリングに限らなければならな

い。認証機関は,依頼組織が,情報セキュリティのリスク及び影響に適用される法規制順守を達成するマ

ネジメントシステムをもっていることを,検証しなければならない。

9.2.3.3.2 ISMS

文書と他のマネジメントシステム文書との統合 

依頼組織は,組織の ISMS 文書と他のマネジメントシステム(例えば,品質,安全衛生,環境)文書と

を組み合わせることができる。ただし,他のシステムとの適切なインタフェースを備え,その ISMS を明

確に識別できることが条件となる。

9.2.3.3.3 

マネジメントシステム複合審査 

認証機関は,ISMS の認証に組み合わせて他のマネジメントシステムの認証を提供してもよいし,又は

ISMS

の認証だけを提供してもよい。

ISMS

審査は,他のマネジメントシステムの審査と複合することができる。この複合が可能なのは,そ

の審査がその ISMS の認証のための要求事項を全て満たしていることを実証できる場合である。ISMS にと

って重要な要素全てが審査報告書に明確に記載されており,容易に識別できるようになっていなければな

らない。審査を複合することによって,審査の質に悪影響が及ばないようにしなければならない。

9.2.4 IS 

9.2.4

初回認証授与に関する情報 

認証の決定の基礎を提供するために,認証機関は,この決定を行うのに十分な情報を提供する,明確な

報告書を審査チームに要求しなければならない。

認証機関への審査チームからの報告書は,認証審査プロセスの様々な段階で必要とされる。ファイルに

ある情報と組み合わせて,これらの報告書は,少なくとも IS 9.1.6 で要求されている情報を含まなければ

ならない。

9.2.5 IS 

9.2.5

認証の決定 

認証機関の中で認証の授与/取消しを決定する組織(これは,個人であってもよい。

)は,審査プロセス

及び関連する審査チームの推薦を評価するために十分なレベルの,あらゆる分野における知識及び経験を

もっていなければならない。

依頼組織の ISMS を認証するか否かの決定は,認証プロセスで収集した情報及び他の関連情報に基づい

て,当該認証機関が行わなければならない。認証の決定を下す者は,当該審査に参加した者であってはな

らない。この決定は,認証審査報告書(IS 9.1.6 参照)で示された審査チームの所見及び認証の推薦,並び

に認証機関が入手可能な他の関連する情報に基づかなければならない。

認証の授与を決定する組織は,通常,審査チームの否定的な推薦を覆すことは望ましくない。そのよう

な状況が生じた場合,認証機関は,審査チームの否定的な推薦を覆すという決定の根拠を文書化し,かつ,

その根拠の正当性を示さなければならない。

認証の決定に関して,依頼組織の ISMS において少なくとも一つの完全な ISMS 内部監査及び一つのマ

ネジメントレビューが行われていなければならない特定の期間について,JIS Q 17021 は,

言及していない。

この期間は,認証機関が定めることができる。認証機関は,実施の最少頻度を定める選択をしたか否かに

かかわらず,依頼組織のマネジメントレビュー及び ISMS 内部監査のプロセスの有効性を確実にするため

の方策を確立しなければならない。

依頼組織のマネジメントレビュー及び ISMS 内部監査のための取決めが導入されていて,有効であり,

かつ,維持されることを実証する十分な証拠が得られるまでは,依頼組織に認証を授与してはならない。


15

Q 27006

:2012 (ISO/IEC 27006:2011)

9.3 

サーベイランス活動 

サーベイランス活動は,

JIS Q 17021:2011

の 9.3 によるほか,

次の ISMS 固有の要求事項及び手引による。

9.3.1 IS 9.3

サーベイランス審査 

9.3.1.1

サーベイランスの手順は,この規格に規定する依頼組織の ISMS の認証審査に関する手順と整合

していなければならない。

サーベイランスの目的は,承認された ISMS が引き続き実施されていることを検証し,依頼組織の運営

の変更の結果として生じた,そのシステムへの変更の影響を検討し,かつ,認証要求事項の継続的な順守

を確認することである。サーベイランス審査プログラムは,次の事項を含まなければならない。

a)

そのシステム維持の要素,すなわち ISMS 内部監査,マネジメントレビュー,並びに予防処置及び是

正処置

b)  JIS Q 27001

及び認証に必要な他の文書で要求されている,外部からの情報

c)

文書化されたシステムへの変更

d)

変更された領域

e)

JIS Q 27001

の中の選択した要素

f)

該当するその他の選択した領域

9.3.1.2

認証機関によるサーベイランスは,少なくとも,次の事項をレビューしなければならない。

a)

依頼組織の情報セキュリティ基本方針の目的達成の点から見た ISMS の有効性

b)

関連する情報セキュリティに関する法規制の順守を,定期的に評価しレビューする手順が機能してい

ること

c)

前回審査で特定された不適合についてとられた処置

9.3.1.3

認証機関によるサーベイランスは,JIS Q 17021 でサーベイランス審査に要求されている項目を

網羅しなければならない。さらに,次の事項を含まなければならない。

a)

認証機関は,サーベイランスプログラムを,資産に対する脅威,ぜい弱性及び依頼組織への影響に関

連する情報セキュリティの課題に対して対応できるようにしなければならず,かつ,このプログラム

の正当性を示せなければならない。

b)

認証機関のサーベイランスプログラムは,その認証機関が決定しなければならない。訪問の具体的日

程は,被認証組織との間で合意することができる。

c)

サーベイランス審査は,他のマネジメントシステムの審査と組み合わせてもよい。その場合,報告は,

それぞれのマネジメントシステムに関連する側面を明確に示さなければならない。

d)

認証機関は,登録証の適切な使用を監督しなければならない。

サーベイランス審査において,認証機関は,認証機関に持ち込まれた異議申立て及び苦情の記録を点検

し,かつ,認証要求事項を満たす上での不適合又は不備が明らかな場合は,依頼組織が,自らの ISMS 及

び手順を調査して,適切な是正処置をとったことを確認しなければならない。

サーベイランス報告書には,特に,以前に発見された不適合の解決に関する情報を含まなければならな

い。サーベイランスから上げる報告書は,少なくとも,全体として a)の要求事項を含むように作成しなけ

ればならない。

9.4 

再認証 

再認証は,JIS Q 17021:2011 の 9.4 によるほか,次の ISMS 固有の要求事項及び手引による。


16

Q 27006

:2012 (ISO/IEC 27006:2011)

9.4.1 IS 9.4

再認証審査 

再認証審査の手順は,この規格に規定する依頼組織の ISMS 認証審査に関する手順と整合していなけれ

ばならない。

認証機関は,認証の維持に関する状況及び条件を規定した明確な手順をもっていなければならない。サ

ーベイランス又は再認証の審査において,不適合のあることが見いだされた場合,この不適合は,認証機

関が合意した期間内に有効に是正されなければならない。合意した期間内に是正がなされない場合は,認

証機関は,認証範囲の縮小,又は登録証の一時停止若しくは取消しを行わなければならない。是正処置を

実施するために認める期間は,その不適合の重大さの程度に応じ,かつ,依頼組織の製品又はサービスが

特定の要求事項を満たすことを保証するに当たってのリスクに応じたものでなければならない。

9.5 

特別審査 

特別審査は,JIS Q 17021:2011 の 9.5 によるほか,次の ISMS 固有の要求事項及び手引による。

9.5.1 IS 9.5

特別なケース 

ISMS

の認証を受けた依頼組織がそのシステムに重大な変更を加える場合,又はその認証の基盤に影響

を与えるような他の変化が起きる場合,特別審査を行うために必要な活動は,特別な規定によらなければ

ならない。

9.6 

認証の一時停止,取消し,又は認証範囲の縮小 

認証の一時停止,取消し,又は認証範囲の縮小は,JIS Q 17021:2011 の 9.6 による。

9.7 

異議申立て 

異議申立ては,JIS Q 17021:2011 の 9.7 による。

9.8 

苦情 

苦情は,JIS Q 17021:2011 の 9.8 によるほか,次の ISMS 固有の要求事項及び手引による。

9.8.1 IS 9.8

苦情 

苦情は,潜在的な不適合についての情報源である。認証機関は,被認証組織に対し,苦情を受け取った

場合には,苦情の原因を確立し,必要な場合には,認証機関に報告するよう要求しなければならない。苦

情の原因には,もともと不適合の原因となるような(又はその傾向のある)

,被認証組織の ISMS の中にあ

る要因が含まれている。

認証機関は,被認証組織が修正処置及び是正処置の方法を策定するために,そのような調査を行ってい

ることを確認しなければならない。とる処置には,次の方策を含めなければならない。

a)

法律で要求されている場合は,該当する当局への通知

b)

適合への復旧

c)

再発の防止

d)

セキュリティインシデント及びその影響の評価及び軽減

e) ISMS

の他の構成要素との満足できる関わり方を確実にする。

f)

採用した修正及び是正の方策の有効性の評価

認証機関は,ISMS の認証を受けた依頼組織のそれぞれに対して,全ての苦情の記録,及び JIS Q 27001

の要求事項に従ってとった全ての是正処置の記録を,認証機関が求めたときは利用できることを要求しな

ければならない。

9.9 

申請者及び依頼者に関する記録 

申請者及び依頼者に関する記録は,JIS Q 17021:2011 の 9.9 による。


17

Q 27006

:2012 (ISO/IEC 27006:2011)

10 

認証機関に関するマネジメントシステム要求事項 

10.1 

マネジメントシステムに関する選択肢 

マネジメントシステムに関する選択肢は,JIS Q 17021:2011 の 10.1 による。

10.2 

選択肢 1JIS Q 9001 に従ったマネジメントシステムの要求事項 

JIS Q 9001

に従ったマネジメントシステムの要求事項は,JIS Q 17021:2011 の 10.2 による。

10.3 

選択肢 2:マネジメントシステムに対する一般要求事項 

マネジメントシステムに対する一般要求事項は,JIS Q 17021:2011 の 10.3 によるほか,次の ISMS 固有

の要求事項及び手引による。

10.3.1  IS 10.3 ISMS

の導入 

JIS Q 27001

に従って ISMS を導入することを認証機関に推奨する。


18

Q 27006

:2012 (ISO/IEC 27006:2011)

附属書 A

(参考)

依頼組織の複雑さ及び分野固有の側面の分析

A.1 

組織のリスクの可能性 

審査工数及び審査員の力量を決定する場合には,その ISMS の適用範囲の複雑さを考慮する必要がある。

この附属書では,この目的のための依頼組織の複雑さの分析例を示す。

ISMS

の適用範囲に割り当てられる複雑さの分類は,次の事項を決定するために用いることができる。

a) ISMS

審査のための審査員の力量に関する要求事項(

附属書 に例を示す。)

b) ISMS

審査のための審査工数に関する要求事項(

附属書 に例を示す。)

表 A.1 は,ISMS の適用範囲の複雑さを決定する場合に考慮を要する,一般的にあり得る要因を示した

ものである。この表には,特定の状況に応じた調整,又は適切な場合には,特別な要因の追加が必要とな

るであろう。

表 A.1 に示した複雑さの基準を利用することによって,ISMS の適用範囲の複雑さを,多くの異なる要

因のそれぞれについて,

“高”

“中”及び“低”の三つに分類することができる。検討した全ての要因の中

で最も上位の分類を,全体としての複雑さの有効な分類とすることができ,その結果も,

“高”

“中”又は

“低”の分類のいずれかとなる。


19

Q 27006

:2012 (ISO/IEC 27006:2011)

表 A.1ISMS の適用範囲の複雑さの基準

複雑さの要因 

分類 

主要な該当例 

 

 

 

従業員及び契約
社員数

1 000

以上 200 以上 1 000

未満

200

未満

・ ISMS 導入の規模 
・  管理に関する情報システム

・  生産管理に関連するシステム 
・  販売/流通/一般的なサービスに関連する

システム

・  情報技術/情報サービス及び関連するシス

テム

・  建築/造船/プラントエンジニアリングに

関連するシステム

利用者数 1

000

000

以上 200 000 以上

1 000 000

未満

200 000

未満

・  金融システム

・  行政,学校,医療/病院システム

事業所数

5

以上

2

以上 5 未満

1

・ ISMS 導入の規模

・  物 理 的 及 び 環 境 的 セ キ ュ リ テ ィ ( JIS Q 

27001:2006

の A.9

サーバ数 100 以上 10 以上 100 未

10

未満

・ ISMS 導入の規模

・  物 理 的 及 び 環 境 的 セ キ ュ リ テ ィ ( JIS Q 

27001:2006

の A.9

・  アクセス制御(JIS Q 27001:2006 の A.11

・  通信及び運用管理

JIS Q 27001:2006 の A.10

ワークステーシ

ョン・PC・ノー
ト PC の数

300

以上 50 以上 300 未

50

未満

・  アクセス制御(JIS Q 27001:2006 の A.11

アプリケーショ
ンの開発・保全要
員数

100

以上 20 以上 100 未

20

未満

・  情報システムの取得,開発及び保守(JIS Q 

27001:2006

の A.12

ネットワーク及
び暗号化の技術

暗号化/ディ
ジタル署名/

PKI

要求事項

による,外部
/インターネ

ット接続

標準設備に内
蔵の暗号化を

用 い て い る
が,ディジタ
ル 署 名 / PKI

要求事項のな
い,外部/イ
ンターネット

接続

暗号化/ディ
ジタル署名/

PKI

要求事項

のない,外部
/インターネ

ット接続

・  通信及び運用管理

JIS Q 27001:2006 の A.10

・  アクセス制御(JIS Q 27001:2006 の A.11

法的順守の重大

順守していな
いことによっ

て,訴訟とな
り得る。

順守していな
いことによっ

て,重大な罰
金を科される
か又は世評の

低下を招く。

順守していな
いことによっ

て,軽微な罰
金を科される
か又は世評の

低下を招く。

・  法律及び指針(JIS Q 27001:2006 の A.15

分野固有のリス

クの適用性

(情報

セキュリティリ
スクの分野固有

の分類の例につ
いては A.2 を参
照)

分野固有の法

律及び規制を
適用する。

該当する分野

固有の法律及
び規制はない
が,重大な分

野固有のリス
クが適用され
る。

該当する分野

固有の法律及
び 規 制 も な
く,該当する

分野固有のリ
スクの適用も
ない。

・ ISMS 導入の規模

・  法律及び指針(JIS Q 27001:2006 の A.15


20

Q 27006

:2012 (ISO/IEC 27006:2011)

表 A.1 内の数は,事例の目的として示しているに過ぎず,認証機関は自らの値を決めることが望ましい。

A.2 

情報セキュリティリスクの分野固有の分類 

情報に対するリスクは,

考慮される情報の種類又は組織が活動している分野に固有なものもある。

次は,

リスクが異なる分類の例を示したものである。

全ての組織に適用される分類

・  給与,年金,安全衛生,組織の記録,部門内及び部門間の情報など

・  個人を識別できるその他の情報

・  営業上の取扱いに慎重を要する/重要なその他の情報(例えば,研究開発情報,設計情報,顧客の詳

細情報,財務の結果及び予測,事業計画,知的財産権,製造プロセス)

行政の取扱いに慎重を要する/重要な情報

・  公開情報

・  電子政府アプリケーション

・  国民に関する情報(例えば,健康,給付,税,履歴)

・  行政への供給者及び製造業者によって取り扱われる情報(例えば,ICT 設計,設備,製品,サービス)

組織の形態に応じて適用される分類

・  企業統治−上場企業(その他の大規模組織を含む可能性もある。

事業・業務の分野に適用される分類

・  医療

・  教育

・  航空宇宙

・  電気通信

・  金融サービス

・  慈善団体及び非営利組織


21

Q 27006

:2012 (ISO/IEC 27006:2011)

附属書 B

(参考)

審査員の力量の領域例

B.1 

一般的な力量に関する考慮事項 

審査員が自らの知識及び経験を証明する手段には複数の方法がある。例えば,認知された資格を用いる

ことによって,知識及び経験を評価することができる。また,要員認証スキームでの登録の記録も,要求

される知識及び経験を評価するために用いることができる。審査チームに要求される力量のレベルは,組

織の業種/技術分野及び複雑さの要因に対応して確立することが望ましい。

B.2 

特定の力量に関する考慮事項 

B.2.1 

JIS Q 27001:2006

の附属書 A“管理策”についての知識 

ISMS

審査に関連する代表的な知識を,次に示す。審査員は,

表 B.1 に示す JIS Q 27001:2006 の附属書 A

の管理策の領域に加えて,JIS Q 27000 ファミリー規格についての知識ももっていることが望ましい。

表 B.1JIS Q 27001:2006 の附属書 A“管理策”についての知識

情報セキュリティの方針及び事業上の要求事項についての知識及び経験

セキュリティ基本方針

事業・業務プロセス,慣行,及び組織構造についての一般知識及び経験

情報セキュリティのための組織

資産評価,資産目録,資産分類,及び資産の許容される利用範囲に関す
る方針についての知識

資産の管理

人事部門が用いるプロセス及び手順についての一般知識及び経験

人的資源のセキュリティ

物理的及び環境的セキュリティについての知識

物理的及び環境的セキュリティ

情報セキュリティのために用いられる標準類,プロセス,技術及び手法
についての最新の知識及び経験(管理手法及び適切なレベルの専門知識

を含む。

。これには,一般的な業務慣行についての最新知識も含む。

通信及び運用管理

アクセス制御

情報システムの取得,開発及び保守

インシデントの管理のためのプロセス及び手順についての最新の知識及
び経験

情報セキュリティインシデントの管理

事業継続のための標準類,プロセス,計画及び試験の手順についての最
新の知識及び経験

事業継続管理

ISMS

に関連する事業・業務上の契約に関する事項,慣習法及び規制につ

いての最新の知識

順守

注記  “事業”又は“業務”という用語は,組織の形態にかかわらず,その組織が存立するための核

となる活動を意味する。

B.2.2 ISMS

に関連する代表的な知識 

審査員は,次に示す審査及び ISMS に関する事項についての知識をもち,かつ,これらを理解している

ことが望ましい。

・  審査プログラム及び審査計画

・  審査の種類及び方法論

・  審査リスク

・  情報セキュリティプロセスの分析

・  継続的改善のためのデミング(PDCA)サイクル

・  情報セキュリティの内部監査


22

Q 27006

:2012 (ISO/IEC 27006:2011)

審査員は,次の規制要求事項についての知識をもち,かつ,これらを理解していることが望ましい。

・  知的財産

・  組織の記録の内容,保護及び保管

・  データ保護及び個人情報の保護

・  暗号による管理策に関する規則

・  対テロ対策

・  電子商取引

・  電子署名及びディジタル署名

・  職場での監督

・  電気通信の傍受及びデータの監視(例えば,電子メール)

・  コンピュータの不正利用

・  電子的な証拠の収集

・  侵入試験

・  国際及び国内における分野固有の要求事項(例えば,銀行業)

審査員は,次のマネジメントに関する要求事項についての知識をもち,かつ,これらを理解しているこ

とが望ましい。

・  情報セキュリティのリスク対応

・ ICT の外部委託に関するセキュリティリスク

・  サプライチェーンに関する情報セキュリティリスク


23

Q 27006

:2012 (ISO/IEC 27006:2011)

附属書 C

(参考) 
審査工数

C.1 

序文 

この附属書は,JIS Q 17021:2011 の 9.19.29.3 及び 9.4 に関連する付加的情報を含む。この情報は,

JIS Q 27006:2012

の IS 9.1.2IS 9.1.3IS 9.1.5IS 9.1.6IS 9.2.3.1IS 9.2.3.2 及び IS 9.2.3.3 と関連付けて

理解することが望ましい。この附属書は,広範な活動分野において規模及び複雑さがそれぞれ異なる依頼

組織の ISMS の適用範囲について,認証を行うために必要となる工数を決定する手順を作成する場合の手

引を,認証機関に対して提供する。

認証機関は,各依頼者及び認証された ISMS ごとに,初回認証,サーベイランス及び再認証に費やされ

る審査工数を特定する必要がある。審査計画の段階でこの附属書を用いることは,適切な審査工数を決定

する一貫した方法に導くことができる。同時に,この附属書で与えられる手引は,その審査過程で見いだ

されることに照らして,その方法に柔軟性をもたせることを許している。審査過程で見いだされることに

は,特に,第一段階審査の過程で見いだされること及び対象として考慮されている ISMS の適用範囲の複

雑さがある。

C.2 

審査工数決定の手順 

ISMS

の適用範囲及びそこでの従業員数(C.3 の審査工数表を参照)

,並びに次に詳細を示す,規模,特

徴,複雑さ及び潜在的な情報セキュリティリスクの重大さが,ISMS 審査にかかる工数を左右することを

経験が示している。IS 9.1.3,並びに IS 9.2.3.1IS 9.2.3.2 及び IS 9.2.3.3 は,必要な審査工数を確立する場

合に考慮が望まれる基準を一覧にしている。これら及び他の要因を,認証機関の契約のレビュープロセス

で,割り付けるべき審査工数に対する影響に関して調査する必要がある。

審査工数を決定する場合に,このような要因全てを考慮することが望ましいこと,及び C.3 の審査工数

表はそれ単独では利用できないことへの留意が重要である。次の例は,審査工数に影響を与えることがあ

る要因を示しており,IS 9.1.3 にある要因一覧について詳述している。

・ ISMS の適用範囲の規模に関連する要因(例えば,使用される情報システムの数,情報処理の量,利

用者数,特権利用者の数,IT プラットフォームの数,ネットワーク数及びそれらの規模)

・ ISMS の複雑さに関連する要因(例えば,情報システムの重要性,その ISMS のリスクの状況,取扱い

及び処理の対象となる慎重を要する情報及び重要な情報の量・種類,電子的トランザクションの数及

び種類,全ての開発プロジェクトの数及び種類,実行している遠隔作業の範囲,ISMS 文書化の範囲)

・ ISMS の適用範囲内で実施される事業の種類,並びにこれらの事業の種類に関連する,セキュリティ,

法令,規制,契約及び事業上の要求事項

・ ISMS の様々な構成要素[例えば,導入された管理策,文書及び/又はプロセス管理,是正処置又は

予防処置,情報システム,IT システム,ネットワーク(固定網か,モバイルか,無線か,外部か,内

部か否かなど)

]を導入する場合に使用される,技術の範囲及び多様性

・ ISMS の適用範囲内の事業所数,これらの事業所の類似性又は相違点,及び全事業所の審査又は抜取

り審査

・ ISMS の既に実証されたパフォーマンス


24

Q 27006

:2012 (ISO/IEC 27006:2011)

・ ISMS の適用範囲内で用いられる外部委託及び第三者契約の範囲,並びにこれらのサービスに対する

依存度

・  認証に適用される標準類,法令及び規制,並びに適用される可能性のある分野固有の要求事項

ISMS

の認証は,通常,品質マネジメントシステム又は環境マネジメントシステムの認証よりも多くの

時間を要する。それは,ISMS 固有の必要に基づく,ISMS への追加の要求事項があるためであり,例えば,

ISMS

基本方針,リスクマネジメント,並びに ISMS の管理目的及び管理策といったものがそれに該当する。

認証機関は,次の事項を実施することが要求される。

a)

依頼組織がその情報セキュリティのリスク及び影響の重大さを決定するための手法の健全性と一貫性

とを審査する。

b)

その ISMS に適用される全ての関連法令及び他の要求事項を順守するために設計されたシステムにそ

れを達成する能力があること,及びこのシステムが導入・維持されていることを確認する。

c)

管理目的及び管理策が正確に選択され,導入されていること,その有効性が測定されていること,及

び“セキュリティ障害の予防及びセキュリティ障害への適切な対応”を達成するためのプロセスが確

実であり,順守されていることを確認する。

d)

依頼組織の ISMS の文書化に関する要求事項が満たされていることを確認する。

e)

第一段階審査で生じる追加の要求に対応する。

C.3 

審査工数表 

C.3.1 

一般 

表 C.1 に示す審査工数表は,平均的な初回審査日数(この審査日数には,第一段階審査及び第二段階審

査のための日数を含む。以下,同じ。

)を設定したものであり,この日数は,ISMS の適用範囲(所与の従

業員数による。

)に対して,適切であることが経験によって示されている。また,この表に示したものと同

じ規模の ISMS の適用範囲であっても,より多くの工数を必要とする場合もあれば,より少ない工数でも

よい場合があることも,経験によって実証されている。

それぞれの認証に費やされる時間は,組織の規模,審査の範囲,事業所の所在地・数,組織の複雑さ及

び受審準備の状況を含む多くの要因によって,変動する(C.2 も参照)

。認証機関による契約のレビューの

過程で,これら及び他の要因を,割り当てるべき審査工数に対する影響面から調査する必要がある。した

がって,この審査工数表は,それ単独では用いることができない。

表 C.1 に示す審査工数表は,審査計画の立案に利用できる枠組みを提供する。この枠組みでは,全ての

勤務シフトにおける従業員数を合計した総従業員数に基づいて計画立案の出発点を特定し,次に,審査対

象の ISMS 適用範囲にある重要な要因に基づいてこれを調整し,各要因に対して追加又は削減の重み付け

をしてこの基礎となる数字を修正する。この表が用いている用語は,C.3.2 で説明する。


25

Q 27006

:2012 (ISO/IEC 27006:2011)

表 C.1−審査工数表

従業員数 

QMS

の初回 

審査工数 

(審査人・日) 

EMS

の初回 

審査工数 

(審査人・日)

ISMS

の初回 

審査工数 

(審査人・日)

追加・削減要因 

合計審査工数

 1

∼ 10

2

3 5

C.2

参照

 11

∼ 25

3

 7

C.2

参照

 26

∼ 45

4

6 8.5

C.2

参照

 46

∼ 65

5

 10

C.2

参照

 66

∼ 85

6

 11

C.2

参照

 86

∼ 125

7

8 12

C.2

参照

 126

∼ 175

8

 13

C.2

参照

 176

∼ 275

9

 14

C.2

参照

 276

∼ 425

10

 15

C.2

参照

 426

∼ 625

11

12 16.5

C.2

参照

 626

∼ 875

12

 17.5

C.2

参照

 876

∼ 1 175

13

 18.5

C.2

参照

  1 176

∼ 1 550

14

 19.5

C.2

参照

  1 551

∼ 2 025

15

18 21

C.2

参照

  2 026

∼ 2 675

16

 22

C.2

参照

  2 676

∼ 3 450

17

 23

C.2

参照

  3 451

∼ 4 350

18

 24

C.2

参照

  4 351

∼ 5 450

19

 25

C.2

参照

  5 451

∼ 6 800

20

 26

C.2

参照

  6 801

∼ 8 500

21

 27

C.2

参照

  8 501

∼ 10 700

22

 28

C.2

参照

10 700

を超え

上 記 の 加 算 率

に従う。

上 記 の 加 算 率

に従う。

C.2

参照

C.3.2 

用語の説明 

この審査工数表でいう“従業員”とは,ISMS の適用範囲に関連する業務活動を行う全ての人のことを

いう。全ての勤務シフトの従業員数を合計した総従業員数が,審査工数を決定する出発点となる。

有効な従業員数は,審査時点で存在する非常勤の(季節,臨時及び下請)要員を含む。認証機関は,被

審査組織と,その組織の適用範囲全体を最も良く実証するであろう審査時期について合意することが望ま

しい。この検討考慮には,適宜,季節,月,曜日/日付及び勤務シフトを含むことができる。

パートタイムの従業員は,常勤の従業員とみなすことが望ましい。この決定は,常勤従業員の勤務時間

数と比較した時間数に基づくであろう。

“審査工数”には,次のための時間を含む。

・  審査員又は審査チームによる,第一段階審査,第二段階審査及び計画立案(適切であるときは,現地

以外で行う文書レビューの時間を含む。

・  組織・要員・記録・文書及びプロセスに関わる調整

・  報告書作成

計画立案及び報告書作成の合計時間の割合が増大することによって,現地審査工数が,審査工数表に示

す時間の 70 %未満にならないことが望ましい。計画立案及び/又は報告書作成に多くの時間が必要な場合

でも,それは,現地審査工数を削減する理由にはならない。審査員の移動時間は,この計算に含まれてい

ないので,この表の審査工数への追加となる。


26

Q 27006

:2012 (ISO/IEC 27006:2011)

注記 1 70

%

とは,ISMS 審査の経験に基づいた値である。

遠隔審査の手法(例えば,対話形ウェブベースの共同作業,ウェブ会議,テレビ・電話会議及び/又は

その組織のプロセスの電子的な検証)を,組織とのやり取りに利用する場合には,審査計画(IS 9.1.5 参照)

の中でこうした活動を特定することが望ましい。この活動は,現地審査の工数合計に,ある割合で加算し

てもよい。

遠隔審査の活動が,計画した現地審査工数の 30 %を超える審査計画を立案する場合,認証機関は,その

審査計画の正当性を示すこと,及びその審査の実施に先立って,認定機関から特別の承認を得ることが望

ましい。

注記 2  現地審査工数とは,個別の事業所に割り当てられる審査工数をいう。離れた事業所への電子

的審査は,それを組織の敷地内で物理的に行う場合でも,遠隔審査とみなされる。

この表でいう“審査工数”とは,審査に費やす“審査人・日”によって示される。1“審査人・日”とは,

一般に,全日の標準労働日のことである。

初回の認証審査サイクルでは,当該組織のためのサーベイランス工数は,サーベイランスのための年間

合計工数を初回審査工数の約 3 分の 1 とすることで,初回審査の工数に比例させることが望ましい。計画

したサーベイランス工数は,その組織,システムの成熟度などの変化を考慮するために随時にレビューす

ることが望ましく,少なくとも再認証審査時にはレビューすることが望ましい。

再認証審査を行うことに必要な総工数は,この規格の IS 9.1.6 及び JIS Q 17021:2011 の 9.4 に規定された

レビューの所見に依存するであろう。再認証審査の工数は,再認証のための審査が必要となった時点で,

同じ組織を初回認証審査するとしたら必要となる工数に比例していること,及び同じ組織を初回認証審査

するとしたら必要となる工数の約 3 分の 2 にすることが望ましい。このように再認証の審査工数は定期サ

ーベイランスの工数よりも多くなるが,計画された定期サーベイランス訪問と同時に再認証審査を行う場

合には,この再認証審査は,サーベイランスの要求事項も十分満たすであろう。どのような結論になるか

にかかわらず,この規格の IS 9.1.2 の手引が適用される。

標準的な ISMS の適用範囲についての必要な審査工数を決定するための一般的な出発点を,

表 C.1 に示

された従業員数によって決めた後,C.2 に挙げられたものに加えて,実際の審査工数に影響を及ぼす可能

性のある相違点を考慮に入れた調整を検討する必要がある。それは,審査対象である特定の ISMS につい

て有効な審査を行うために必要とされるものである。

審査工数の追加が必要となる要因に,次の例がある。

・ ISMS の適用範囲において複数の建物又は場所を含むような,事業所の所在地・数に関わる複雑な状

・  要員が複数の言語を話す(審査員ごとに通訳者を要する。さもなければ,審査員は個別に業務が行え

ない。

・  高度の規制

・ ISMS が極めて複雑なプロセス,又は比較的多くの活動若しくは独自の活動を含んでいる。

・  プロセスが,ハードウェア,ソフトウェア,プロセス及びサービスの組合せに関わっている。

・  常設の事業所のマネジメントシステムが認証対象となっているが,その活動を確認するために,一時

的事業場所の訪問を必要とする活動(

注記 参照)

審査工数の削減が可能となる要因に,次の例がある。

・  リスクがない/低い,製品/プロセス

・  その組織についてあらかじめ知っている(例えば,その組織が既に別の規格に対する認証を同じ認証


27

Q 27006

:2012 (ISO/IEC 27006:2011)

機関から受けている場合)

・  認証に対する依頼者の準備状況(例えば,既に他の第三者スキームで認証又は認知されている場合)

・  プロセスが単一の一般的活動に関わっている(例えば,サービスだけ)

・  そのマネジメントシステムが成熟している。

・  同一の単純作業を行う従業員の比率が高い。

注記 3  依頼組織又は被認証組織が一時的事業所において製品又はサービスを提供している場合に

は,このような事業所の評価をその認証審査及びサーベイランスプログラムに含めることが

重要である。

一時的事業所とは,認証文書が特定した事業所/場所とは異なる,定められた期間,認証の範囲内の活

動が実施される場所である。このような事業所には,大きなプロジェクト管理の事業所から小さなサービ

ス/据付設置のための事業所まで,様々なものがあろう。このような事業所を訪問する必要性及び訪問場

所のサンプリングの範囲は,システムの不適合によって製品又はサービスがニーズ/期待を満たせなくな

ることのリスクの評価に基づくことが望ましい。選択する事業所のサンプルは,組織に求められる力量及

びそのサービスの種類を代表することが望ましく,活動の規模及び種類並びにプロジェクト進行中の諸段

階が考慮されたものであることが望ましい。

その ISMS の適用範囲,プロセス,及び製品/サービスの全ての属性を考慮することが望ましく,有効

な審査のための追加・削減した審査工数の正当性を示し得る要因について,公正な調整を行うことが望ま

しい。追加要因は,削減要因によって相殺してもよい。審査工数表に示した工数を調整する全ての場合に

おいて,それからの差異の正当性を示す十分な証拠及び記録を維持することが望ましい。

図 C.1 は,表 C.1 に示した審査工数に対する追加及び削減要因について想定される相互関係を表す。

−  組織/システムの複雑さ  +

組織の分布

大きくて単純 

複数サイト

少数プロセス

反復形プロセス

小さい適用範囲

大きくて複雑

複数サイト

多数のプロセス

大きい適用範囲

独自プロセス

高いリスクの製品/プロセス

少数プロセス

小さい適用範囲

反復形プロセス

小さくて単純 

多数のプロセス

高いリスクの製品/プロセス

大きい適用範囲

独自プロセス

小さくて複雑 

図 C.1−審査工数に対する追加及び削減要因

審査工数表からの出発点 


28

Q 27006

:2012 (ISO/IEC 27006:2011)

附属書 D

(参考)

導入された JIS Q 27001:2006 附属書 A の管理策のレビューに関する手引

D.1 

目的 

この附属書は,JIS Q 27001:2006 の

附属書 に記載された管理策の導入のレビューに関する手引,並び

に初回審査及びその後のサーベイランスのための訪問中の,導入された管理策のパフォーマンスについて

の審査証拠の収集に関する手引を提供する。ISMS のために依頼組織が選択した全ての管理策(これは,

適用宣言書による。

)の導入を,初回審査の第二段階,並びにサーベイランス及び再認証の活動の中でレビ

ューする必要がある。

認証機関が収集する審査証拠は,

管理策が有効か否かの結論を出すために十分なものである必要がある。

管理策がどのように機能することが期待されるのかについて,適用宣言書に記述若しくは言及される,依

頼組織の手順又は基本方針で特定されるであろう。ISMS の適用範囲外の管理策は,審査対象とならない

だろう。

D.1.1 

審査証拠 

最良の審査証拠は,審査員による観察から収集される(例えば,錠の付いた扉は施錠されている。要員

は秘密保持契約書に署名している。資産登録簿があり,観察された資産は,これに記載されている。シス

テムの設定は適切である。

。証拠は,管理策の実行結果を見ることから収集できる(例えば,要員に与え

られたアクセス権の印刷物で適正な権限をもつ役員が署名したもの,インシデント解決の記録,適正な権

限をもつ役員が署名した処理権限文書,経営者会議又は他の会議の議事録)

。審査員が管理策を直接試験し

た(又は管理策を再実行した)結果は,証拠になる(例えば,管理策が禁止しているはずの作業の試行,

悪意のあるコードから保護するソフトウェアのマシンへのインストール及び更新の有無の判定,付与され

たアクセス権。これらは,認可権限者の確認後に実施するものである。

。証拠は,プロセス及び管理策に

ついて従業員/契約者と面談すること,及びこれが事実上正確か否かを判定することによっても,収集す

ることができる。

D.2 

管理策の分類(表 D.1)の利用方法 

D.2.1 

組織的な管理策及び技術的な管理策欄 

各欄の“X”は,その管理策が組織的な管理策,又は技術的な管理策であることを示している。その幾

つかの管理策は,組織的,かつ,技術的であるため,このような管理策については両方の欄に“X”が記

載されている。

組織的な管理策の実行の証拠は,管理策の実行の記録のレビュー,面談,観察及び物理的な検査を通し

て収集できる。技術的な管理策の実行の証拠は,多くの場合,システム試験(次を参照)によって,又は

専用の監査/報告ツールの利用によって収集できる。

D.2.2 

システム試験欄 

システム試験とは,システムを直接にレビューすることをいう(例えば,システムの設定又は構成のレ

ビュー)

。審査員の質問に対しては,システムコンソールに回答が現れるか,又は試験ツールの結果の評価

によって回答を得ることができるであろう。依頼組織が,審査員にとって既知のコンピュータ上のツール

を使用している場合には,このツールを審査の支援に用いることができるか,又は依頼組織(又はその外


29

Q 27006

:2012 (ISO/IEC 27006:2011)

部委託先)がこのツールを用いて行った評価の結果をレビューすることができる。

技術的な管理策のレビューには,次の二つの分類がある。

・  可能:システム試験が,管理策の導入の評価に可能であるが,通常は必要でない。

・  推奨:通常はシステム試験が必要である。

D.2.3 

目視検査欄 

この欄に記入された“X”は,これらの管理策の有効性を評価するために,通常,現地における管理策

の目視検査を必要とすることを意味している。これは,各文書を紙面又は面談によるレビューをすること

では十分でないことを意味しており,審査員が,管理策が導入されている場所で当該管理策を検証する必

要がある。

D.2.4 

審査レビュー手引欄 

この欄は,特定の管理策の審査に役立つと思われる場合に,その管理策の評価のために注目する領域の

候補を,審査員のための追加的手引として提供している。

表 D.1−管理策の分類

JIS Q 27001:2006

の附属書  

管理策 

組織的な

管理策

技術的な

管理策

システム

試験 

目視 
検査 

審査レビュー手引 

A.5 

セキュリティ基本方針

A.5.1 

情報セキュリティ基本方針

A.5.1.1 

情報セキュリティ基本方針文書 X

A.5.1.2 

情報セキュリティ基本方針のレ

ビュー

X

マネジメントレビューの議

事録

A.6 

情報セキュリティのための組織

A.6.1 

内部組織

A.6.1.1 

情報セキュリティに対する経営

陣の責任

X

経営会議の議事録

A.6.1.2 

情報セキュリティの調整 X

経営会議の議事録

A.6.1.3 

情報セキュリティ責任の割当て X

A.6.1.4 

情報処理設備の認可プロセス X

A.6.1.5 

秘密保持契約 X

ファイルから幾つかサンプ
リングをする。

A.6.1.6 

関係当局との連絡 X

A.6.1.7 

専門組織との連絡 X

A.6.1.8 

情報セキュリティの独立したレ
ビュー

X

報告書を読む。

A.6.2 

外部組織

A.6.2.1 

外部組織に関係したリスクの識

X

A.6.2.2 

顧客対応におけるセキュリティ X

A.6.2.3 

第三者との契約におけるセキュ
リティ

X

幾つかの契約条件を検査す
る。

A.7 

資産の管理

A.7.1 

資産に対する責任

A.7.1.1 

資産目録 X

資産を識別する。

A.7.1.2 

資産の管理責任者 X

A.7.1.3 

資産利用の許容範囲 X


30

Q 27006

:2012 (ISO/IEC 27006:2011)

表 D.1−管理策の分類(続き)

JIS Q 27001:2006

の附属書  

管理策 

組織的な

管理策

技術的な

管理策

システム

試験 

目視 
検査 

審査レビュー手引 

A.7.2 

情報の分類

A.7.2.1 

分類の指針 X

A.7.2.2 

情報のラベル付け及び取扱い X

名称付け: 
ディレクトリ,ファイル,

印刷された文書,記録媒体
(例えば,テープ,ディス
ク,CD),電子メッセージ

及び転送ファイル

A.8 

人的資源のセキュリティ

人事ファイルを幾つかサン

プリングする。

A.8.1 

雇用前

A.8.1.1 

役割及び責任 X

A.8.1.2 

選考 X

A.8.1.3 

雇用条件 X

A.8.2 

雇用期間中

A.8.2.1 

経営陣の責任 X

A.8.2.2 

情報セキュリティの意識向上,教
育及び訓練

X

認識することが望ましい特
定の事項を認識しているか
否かを要員に質問する。

A.8.2.3 

懲戒手続 X

A.8.3 

雇用の終了又は変更

A.8.3.1 

雇用の終了又は変更に関する責任 X

A.8.3.2 

資産の返却 X

A.8.3.3 

アクセス権の削除 X

X

推奨

A.9 

物理的及び環境的セキュリティ

A.9.1 

セキュリティを保つべき領域

A.9.1.1 

物理的セキュリティ境界 X

A.9.1.2 

物理的入退管理策 X

X

可能 X

アクセス記録の保管

A.9.1.3 

オフィス,部屋及び施設のセキュ
リティ

X

X

A.9.1.4 

外部及び環境の脅威からの保護 X

  X

A.9.1.5 

セキュリティを保つべき領域で
の作業

X

X

A.9.1.6 

一般の人の立寄り場所及び受渡
場所

X

X

A.9.2 

装置のセキュリティ

A.9.2.1 

装置の設置及び保護 X

X

可能 X

A.9.2.2 

サポートユーティリティ X

X

可能 X

A.9.2.3 

ケーブル配線のセキュリティ X

X

A.9.2.4 

装置の保守 X

A.9.2.5 

構外にある装置のセキュリティ X  X 可能

ポータブルデバイスの暗号

A.9.2.6 

装置の安全な処分又は再利用 X X

可能 X

A.9.2.7 

資産の移動 X


31

Q 27006

:2012 (ISO/IEC 27006:2011)

表 D.1−管理策の分類(続き)

JIS Q 27001:2006

の附属書  

管理策 

組織的な

管理策

技術的な

管理策

システム

試験 

目視 
検査 

審査レビュー手引 

A.10 

通信及び運用管理

A.10.1 

運用の手順及び責任

A.10.1.1 

操作手順書 X

A.10.1.2 

変更管理 X

X

推奨

A.10.1.3 

職務の分割 X

A.10.1.4 

開発施設,試験施設及び運用施設
の分離

X X

可能

A.10.2 

第三者が提供するサービスの管

A.10.2.1 

第三者が提供するサービス X

A.10.2.2 

第三者が提供するサービスの監
視及びレビュー

X X

可能

A.10.2.3 

第三者が提供するサービスの変
更に対する管理

X

A.10.3 

システムの計画作成及び受入れ

A.10.3.1 

容量・能力の管理 X

X

可能

A.10.3.2 

システムの受入れ X

A.10.4 

悪意のあるコード及びモバイル
コードからの保護

A.10.4.1 

悪意のあるコードに対する管理策 X

X

推奨

サーバ,デスクトップ,ゲ
ートウェイのサンプル

A.10.4.2 

モバイルコードに対する管理策 X  X 可能

A.10.5 

バックアップ

A.10.5.1 

情報のバックアップ X

X

推奨

復旧の試行

A.10.6 

ネットワークセキュリティ管理

A.10.6.1 

ネットワーク管理策 X

X

可能

A.10.6.2 

ネットワークサービスのセキュリ

ティ

X

SLA

セキュリティ関連事項

A.10.7 

媒体の取扱い

A.10.7.1 

取外し可能な媒体の管理 X

X

可能

A.10.7.2 

媒体の処分 X

A.10.7.3 

情報の取扱手順 X

A.10.7.4 

システム文書のセキュリティ X X

可能 X

A.10.8 

情報の交換

A.10.8.1 

情報交換の方針及び手順 X

A.10.8.2 

情報交換に関する合意 X

A.10.8.3 

配送中の物理的媒体 X

X

可能

暗号化又は物理的保護

A.10.8.4 

電子的メッセージ通信 X

X

可能

サンプルメッセージが方針
/手順に適合していること
を確認する。

A.10.8.5 

業務用情報システム X

A.10.9 

電子商取引サービス

A.10.9.1 

電子商取引 X

X

可能

A.10.9.2 

オンライン取引 X

X

推奨

点検:完全性,

アクセス認可

A.10.9.3 

公開情報 X

X

可能


32

Q 27006

:2012 (ISO/IEC 27006:2011)

表 D.1−管理策の分類(続き)

JIS Q 27001:2006

の附属書  

管理策 

組織的な

管理策

技術的な

管理策

システム

試験 

目視 
検査 

審査レビュー手引 

A.10.10 

監視

A.10.10.1 

監査ログ取得 X

X

可能

オンライン上又は印刷物で。

A.10.10.2 

システム使用状況の監視 X

X

可能

A.10.10.3 

ログ情報の保護 X

X

可能

A.10.10.4 

実務管理者及び運用担当者の作業
ログ

X X

可能

A.10.10.5 

障害のログ取得 X

A.10.10.6 

クロックの同期

X

可能

A.11 

アクセス制御

A.11.1 

アクセス制御に対する業務上の要
求事項

A.11.1.1 

アクセス制御方針 X

A.11.2 

利用者アクセスの管理

A.11.2.1 

利用者登録 X

全てのシステムに対する全
てのアクセス権の認可につ

いて,従業員/契約者をサ
ンプリングする。

A.11.2.2 

特権管理 X

X

可能

要員の組織内部での異動

A.11.2.3 

利用者パスワードの管理 X

A.11.2.4 

利用者アクセス権のレビュー X

A.11.3 

利用者の責任

A.11.3.1 

パスワードの利用 X

利用者のために備えている
指針/方針を検証する。

A.11.3.2 

無人状態にある利用者装置 X

利用者のために備えている
指針/方針を検証する。

A.11.3.3 

クリアデスク・クリアスクリーン
方針

X

X

A.11.4 

ネットワークのアクセス制御

A.11.4.1 

ネットワークサービスの利用に
ついての方針

X

A.11.4.2 

外部から接続する利用者の認証 X  X 推奨

A.11.4.3 

ネットワークにおける装置の識別

X

A.11.4.4 

遠隔診断用及び環境設定用ポー

トの保護

 X

推奨

A.11.4.5 

ネットワークの領域分割 X

X

可能

ネットワーク図:

WAN

,LAN,VLAN,VPN,

ネ ッ ト ワ ー ク オ ブ ジ ェ ク
ト,ネットワークセグメン
ト(例えば,DMZ)

A.11.4.6 

ネットワークの接続制御 X

X

推奨

あまり一般的でない共有ネ
ットワーク

A.11.4.7 

ネットワークルーティング制御 X  X 推奨

ファイアウォール,ルータ
/スイッチ:

ルールベース,ACL,アク
セス制御方針


33

Q 27006

:2012 (ISO/IEC 27006:2011)

表 D.1−管理策の分類(続き)

JIS Q 27001:2006

の附属書  

管理策 

組織的な

管理策

技術的な

管理策

システム

試験 

目視 
検査 

審査レビュー手引 

A.11.5 

オペレーティングシステムのア
クセス制御

A.11.5.1 

セキュリティに配慮したログオ
ン手順

X X

推奨

A.11.5.2 

利用者の識別及び認証 X

X

推奨

A.11.5.3 

パスワード管理システム X

X

推奨

A.11.5.4 

システムユーティリティの使用 X  X 推奨

A.11.5.5 

セッションのタイムアウト X

X

可能 X

A.11.5.6 

接続時間の制限 X

X

可能 X

A.11.6 

業務用ソフトウェア及び情報の
アクセス制御

A.11.6.1 

情報へのアクセス制限 X

X

推奨

A.11.6.2 

取扱いに慎重を要するシステム
の隔離

X X

可能

A.11.7 

モバイルコンピューティング及
びテレワーキング

A.11.7.1 

モバイルのコンピューティング
及び通信

X X

可能

A.11.7.2 

テレワーキング X

X

可能

A.12 

情報システムの取得,開発及び保

A.12.1 

情報システムのセキュリティ要

求事項

A.12.1.1 

セキュリティ要求事項の分析及

び仕様化

X

A.12.2 

業務用ソフトウェアでの正確な
処理

A.12.2.1 

入力データの妥当性確認 X

X

推奨

ソフトウェア開発指針,SW
試験。

業務ソフトウェアをサンプ
リングして,利用者が必要
とする管理策を備えている

ことを確認する。

A.12.2.2 

内部処理の管理 X

X

可能

ソフトウェア開発指針,SW

試験。 
業務ソフトウェアをサンプ
リングして,利用者が必要

とする管理策を備えている
ことを確認する。

A.12.2.3 

メッセージの完全性

X

可能

A.12.2.4 

出力データの妥当性確認 X

X

可能

ソフトウェア開発指針,SW
試験。

業務ソフトウェアをサンプ
リングして,利用者が必要
とする管理策を備えている

ことを確認する。


34

Q 27006

:2012 (ISO/IEC 27006:2011)

表 D.1−管理策の分類(続き)

JIS Q 27001:2006

の附属書  

管理策 

組織的な

管理策

技術的な

管理策

システム

試験 

目視 
検査 

審査レビュー手引 

A.12.3 

暗号による管理策

A.12.3.1 

暗号による管理策の利用方針 X X

可能

適切な場合,方針の導入の

点検も行う。

A.12.3.2 

鍵管理 X

X

推奨

A.12.4 

システムファイルのセキュリティ

A.12.4.1 

運用ソフトウェアの管理 X

X

可能

A.12.4.2 

システム試験データの保護 X

X

可能 X

A.12.4.3 

プログラムソースコードへのア
クセス制御

X X

推奨

A.12.5 

開発及びサポートプロセスにお
けるセキュリティ

A.12.5.1 

変更管理手順 X

A.12.5.2 

オペレーティングシステム変更
後の業務用ソフトウェアの技術

的レビュー

X

A.12.5.3 

パッケージソフトウェアの変更

に対する制限

X

A.12.5.4 

情報の漏えい X

X

可能

不明なサービス

A.12.5.5 

外部委託によるソフトウェア開発 X

A.12.6 

技術的ぜい弱性管理

A.12.6.1 

技術的ぜい弱性の管理 X

X

推奨

パッチの配付

A.13 

情報セキュリティインシデント
の管理

A.13.1 

情報セキュリティの事象及び

弱点の報告

A.13.1.1 

情報セキュリティ事象の報告 X

A.13.1.2 

セキュリティ弱点の報告 X

A.13.2 

情報セキュリティインシデント
の管理及びその改善

A.13.2.1 

責任及び手順 X

A.13.2.2 

情報セキュリティインシデント
からの学習

X

A.13.2.3 

証拠の収集 X

A.14 

事業継続管理

A.14.1 

事業継続管理における情報セキ
ュリティの側面

マネジメントレビューの議
事録

A.14.1.1 

事業継続管理手続への情報セキ
ュリティの組込み

X

A.14.1.2 

事業継続及びリスクアセスメン

X

A.14.1.3 

情報セキュリティを組み込んだ
事業継続計画の策定及び実施

X X

可能 X

災害復旧(Disaster Recovery)
サイトの検査,リスクアセ

スメント及び該当する法令
/規制の要求事項に基づく
災害復旧サイトとの距離

A.14.1.4 

事業継続計画策定の枠組み X


35

Q 27006

:2012 (ISO/IEC 27006:2011)

表 D.1−管理策の分類(続き)

JIS Q 27001:2006

の附属書 

管理策 

組織的な

管理策

技術的な

管理策

システム

試験 

目視 
検査 

審査レビュー手引 

A.14.1.5 

事業継続計画の試験,維持及び 
再評価

X

A.15 

順守

A.15.1 

法的要求事項の順守

A.15.1.1 

適用法令の識別 X

A.15.1.2 

知的財産権(IPR) X

A.15.1.3 

組織の記録の保護 X

X

可能

A.15.1.4 

個人データ及び個人情報の保護 X  X 可能

A.15.1.5 

情報処理施設の不正使用防止 X

A.15.1.6 

暗号化機能に対する規制 X

A.15.2 

セキュリティ方針及び標準の

順守,並びに技術的順守

A.15.2.1 

セキュリティ方針及び標準の順守 X

A.15.2.2 

技術的順守の点検 X

X

プロセス及びフォローアッ
プについて評価する。

A.15.3 

情報システムの監査に対する 
考慮事項

A.15.3.1 

情報システムの監査に対する 
管理策

X

A.15.3.2 

情報システムの監査ツールの保護 X

X

可能