JIS Q 27014 情報技術－セキュリティ技術－情報セキュリティガバナンス｜最新 JIS規格 一覧｜改正 更新情報｜制定

この規格は，情報セキュリティガバナンスについての概念と原則に基づくガイダンスを示す。この規格を適用することによって，組織が情報セキュリティに関連した活動を評価，指示，モニタとコミュニケーションできるようになる。

この規格は，あらゆる業種と規模の組織に適用できる。

注記 この規格の対応国際規格とその対応の程度を表す記号を，次に示す。

ISO/IEC 27014:2013，Information technology－Security techniques－Governance of information

security（IDT）

なお，対応の程度を表す記号「IDT」は，ISO/IEC Guide 21-1に基づき，「一致している」ことを示す。

次に掲げる規格は，この規格に引用されることによって，この規格の規定の一部を構成する。これらの引用規格は，記載の年の版を適用し，その後の改正版（追補を含む。）は適用しない。

JIS Q 27001:2014 情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項

注記 対応国際規格：ISO/IEC 27001:2005，Information technology－Security techniques－Information security management systems－Requirements（IDT）

ISO/IEC 27014:2013，Information Technology－Security techniques－Information security management systems－Overview and vocabulary

この規格で用いる主な用語と定義は，ISO/IEC 27000:2009，ISO/IEC 27000:2018によるほか，次による。

組織の目的を達成するための戦略と方針を実施する責任を経営陣から委ねられた個人又はグループ。

注記1 業務執行幹部は，トップマネジメントの一部を形成する。役割を明確にするために，この規格では，トップマネジメントの中の二つの集団，すなわち，経営陣と業務執行幹部とを区別する。

注記2 業務執行幹部には，最高経営責任者（CEO），最高財務責任者（CFO），最高執行責任者（COO），最高情報責任者（CIO），最高情報セキュリティ責任者（CISO）と同様の役職が含まれる。

組織のパフォーマンスと適合性について説明責任を負う個人又はグループ。

注記 経営陣は，トップマネジメントの一部を形成する。役割を明確にするために，この規格では，トップマネジメントの中の二つの集団，すなわち，経営陣と業務執行幹部とを区別する。

組織の情報セキュリティ活動を指導し，管理するシステム。

組織の活動に影響を与え，影響されることがある又は影響されると認知している，あらゆる人又は組織。

注記 意思決定者は，利害関係者であることがある。

情報セキュリティガバナンスは，情報セキュリティの目的と戦略を，事業の目的と戦略に合わせて調整する必要があり，法制度，規制と契約を遵守する必要がある。また，情報セキュリティガバナンスは，内部統制システムによって支援されるリスクマネジメント手法を通じて，評価，分析と実施することが望ましい。

経営陣は，組織の決定とその組織のパフォーマンスについて，最終的な説明責任を負う。情報セキュリティに関する経営陣の主な重点事項は，その組織の情報セキュリティの姿勢が効率的であり，効果的であり，受入れ可能であり，かつ，利害関係者の期待を十分に配慮しながら，事業目的と戦略に合ったものであることを確実にすることである。多様な利害関係者は，異なる価値観と必要性をもちえる。

情報セキュリティガバナンスの目的は，次による。

• 情報セキュリティの目的と戦略を，事業の目的と戦略に合わせる（戦略の整合）。
• 経営陣と利害関係者に価値を提供する（価値の提供）。
• 情報リスクに対して適切に対処されていることを確実にする（説明責任）。

情報セキュリティガバナンスを有効に実施することから得られる望ましい結果には，次の事項を含む。

• 情報セキュリティの状況に関する経営陣の見通し
• 情報リスクに関する素早い意思決定
• 情報セキュリティへの効率的，効果的な投資
• 外部要件（法制度，規制又は契約）の遵守

組織の中には，情報技術ガバナンス（以下，ITガバナンスという。），コーポレートガバナンスなどの複数領域のガバナンスモデルが存在する。いずれのガバナンスモデルも，事業目的との調整の重要性を強調する，コーポレートガバナンスの不可欠な構成要素である。経営陣にとって，ガバナンスモデル全体の総合的な観点を整備することは，通常，有益であり，情報セキュリティガバナンスはそのガバナンスモデル全体の一部であることが望ましい。ガバナンスモデルの範囲は重複する場合がある。情報セキュリティガバナンスとITガバナンスとの間の関係の例を，図1に示す。

図1－情報セキュリティガバナンスとITガバナンスとの関係

ITガバナンスの包括的な範囲は，情報を取得，加工，保存と普及するために必要な資源を対象としているのに対し，情報セキュリティガバナンスの範囲は，情報の機密性，完全性と可用性を対象としている。いずれのガバナンスのスキームも，次のガバナンスプロセス（評価，指示とモニタ）によって実施する必要がある。ただし，情報セキュリティガバナンスでは，追加の内部プロセスであるコミュニケーションを必要とする。

情報セキュリティガバナンスを確立するために，経営陣に求められるタスクを箇条5に記載する。ガバナンスのタスクは，参考文献で参照される他の情報セキュリティマネジメントシステムの規格群とともに，JIS Q 27001に規定されたマネジメント要求事項にも関連している。

この箇条では，情報セキュリティガバナンスを形成する原則とプロセスについて記載する。情報セキュリティガバナンスの原則とは，ガバナンスの実施に関する手引としてのガバナンス活動又は行為に関する一般に認められた取決めである。情報セキュリティガバナンスのプロセスは，情報セキュリティガバナンスを可能にする一連のタスクとそれらの相互関係を示す。また，ここでは，情報セキュリティに関するガバナンスとマネジメントとの間の関係も示す。これらの二つの構成要素については，5.2に記載する。

利害関係者の要望を満たすとともに，利害関係者のそれぞれに価値を提供することが，長期的な情報セキュリティの成功のために不可欠である。情報セキュリティを事業目的と密接に整合させること，と利害関係者に価値を提供することというガバナンスの目的を達成するために，ここでは六つの行動指向の原則を提示する。

原則は，情報セキュリティガバナンスのプロセスを実施するための適切な基盤を提供する。各原則の文言は，どうあるべきかについて言及しているが，その原則をどのようにして，いつ，誰が実施するかについては記載しない。それは，これらの側面が原則を実施する組織の性質に依存するからである。経営陣は，これらの原則が適用されることを要求するとともに，それを実施する責任者，説明責任をもつ者と権限をもつ者を任命することが望ましい。

原則1：組織全体の情報セキュリティを確立する。

情報セキュリティガバナンスは，情報セキュリティ活動が包括的であり統合されていることを確実にすることが望ましい。情報セキュリティは，事業，情報セキュリティとその他の全ての関連側面を考慮した意思決定を行う組織レベルで取り扱うことが望ましい。物理的と論理的セキュリティに関する活動は，密接に調整することが望ましい。

組織全体のセキュリティを確立するために，情報セキュリティに関する責任と説明責任を，その組織の活動の全範囲にわたって確立することが望ましい。通常，これらの責任と説明責任は，外部の第三者が情報を保存し，移転することなどによって，一般に認識されているその組織の「境界」を越えて拡大する。

原則2：リスクに基づく取組みを採用する。

情報セキュリティガバナンスは，リスクに基づく意思決定に基づくことが望ましい。どれくらいのセキュリティが必要と認められるかの決定は，その組織のリスク選好1)に基づくことが望ましく，それには競争優位性の喪失，法令遵守と法的責任のリスク，事業中断，信用喪失並びに金銭的損失が含まれる。

組織にとって適切な情報リスクマネジメントは，組織のリスクマネジメント全体と一貫して統合されていることが望ましい。許容できる情報セキュリティのレベルは，組織のリスク選好によって定義され，それには競争優位性の喪失，法令遵守と法的責任のリスク，事業中断，信用喪失並びに金銭的損失が含まれる。情報リスクマネジメントを実施するための適切な資源は，経営陣によって配分することが望ましい。

注1) JIS Q 0073:2010（リスクマネジメント－用語）の3.7.1.2参照

原則3：投資決定の方向性を設定する。

情報セキュリティガバナンスは，達成されるべき事業の成果に基づいた情報セキュリティ投資戦略を確立することによって短期的と長期的な両方の事業と情報セキュリティの要求条件との間の調和をもたらし，それによって利害関係者の現在と将来のニーズを満たすことが望ましい。

組織の目的を支援する情報セキュリティ投資を最適化するために，経営陣は，情報セキュリティが，資本と運営支出，法令・規制の遵守並びにリスク報告のための既存の組織プロセスと統合することを確実にすることが望ましい。

原則4：内部と外部の要求事項との適合性を確実にする。

情報セキュリティガバナンスは，情報セキュリティの方針と実践が，関連する強制力のある法令・規制と約束済みの事業若しくは契約の要求事項，並びにその他の外部又は内部の要求事項に適合することを確実にすることが望ましい。

適合性と法令遵守の問題に対処するために，経営陣は，独立したセキュリティ監査を委託して，情報セキュリティ活動が内部と外部の要求事項を十分に満たしているという保証を取り付けることが望ましい。

原則5：セキュリティに積極的な環境を醸成する。

情報セキュリティガバナンスは，人間の行動に基づいて構築することが望ましく，これには全ての利害関係者の変化するニーズが含まれる。なぜならば，人間の行動は，適切なレベルの情報セキュリティを支持するための基本的な要素の一つであるからである。様々な利害関係者の目的，役割，責任と資源間の調和，調整などが不十分な場合は，これらが互いに摩擦を起こし，その結果，事業目的の達成に失敗することになる。したがって，様々な利害関係者の間の調和と方向性の一致が極めて重要である。

情報セキュリティに積極的な文化を確立するために，経営陣は，情報セキュリティに関する一貫した方針を実現するよう利害関係者の活動の調和，調整などを要求し，推進し，支援することが望ましい。このことは，セキュリティの教育，訓練と啓発プログラムの実施を促進することになる。

原則6：事業の結果に関するパフォーマンスをレビューする。

情報セキュリティガバナンスは，情報を保護するためにとられた取組みがその組織を支持する目的に合っており，合意されたレベルの情報セキュリティを提供することを確実にすることが望ましい。セキュリティのパフォーマンスは，現在と将来の事業要件を満たすために要求されるレベルで維持することが望ましい。

ガバナンスの観点から情報セキュリティのパフォーマンスをレビューするために，経営陣は，セキュリティ管理策の有効性と効率だけではなく，その事業への影響に関する情報セキュリティのパフォーマンスを評価することが望ましい。これは，モニタリング，監査と改善に関するパフォーマンス測定プログラムの必須レビューを実施し，それによって情報セキュリティのパフォーマンスを事業のパフォーマンスとリンクさせることによって行うことができる。

概要 [5.3.1]

経営陣は，情報セキュリティを統治するために，「評価」，「指示」，「モニタ」と「コミュニケーション」の各プロセスを実行する。

さらに，「保証」プロセスによって，情報セキュリティガバナンスと達成したレベルについての独立した客観的な意見が得られる。図2は，これらのプロセス間の関係を示している。

図2－情報セキュリティガバナンスモデルの実施

評価 [5.3.2]

「評価」とは，現在のプロセスと予測される変化に基づくセキュリティ目的の現在と予想される達成度を考慮し，将来の戦略的目的の達成を最適化するために必要な調整を決定するガバナンスプロセスである。

「評価」プロセスを実施するために，経営陣は，次のことを行うことが望ましい。

• 事業の取組みが情報セキュリティ問題を考慮することを確実にする。
• 情報セキュリティのパフォーマンス結果に対応し，必要な処置の優先順位を決めて開始する。

「評価」プロセスを可能にするために，業務執行幹部は，次のことを行うことが望ましい。

• 情報セキュリティが事業目的を十分にサポートし，支えることを確実にする。
• 重大な影響のある新規情報セキュリティプロジェクトを経営陣に付託する。

指示 [5.3.3]

「指示」は，経営陣が，実施する必要がある情報セキュリティの目的と戦略についての指示を与えるガバナンスプロセスである。「指示」には，資源供給レベルの変更，資源の配分，活動の優先順位付け並びに，方針，適切なリスク受容とリスクマネジメント計画の承認が含まれる。

「指示」プロセスを実施するために，経営陣は次のことを行うことが望ましい。

• その組織のリスク選好を決定する。
• 情報セキュリティの戦略と方針を承認する。
• 適切な投資と資源を配分する。

「指示」プロセスを可能にするために，業務執行幹部は次のことを行うことが望ましい。

• 情報セキュリティの戦略と方針を策定して実施する。
• 情報セキュリティの目的を事業目的に合わせて調整する。
• 情報セキュリティに積極的な文化を推進する。

モニタ [5.3.4]

「モニタ」は，経営陣が戦略的目的の達成を評価することを可能にするガバナンスプロセスである。

「モニタ」プロセスを実施するために，経営陣は次のことを行うことが望ましい。

• 情報セキュリティマネジメント活動の有効性を評価する。
• 内部と外部の要求事項への適合性を確実にする。
• 変化する事業，法制度，規制の環境，とそれらの情報リスクへの潜在的影響を考慮する。

「モニタ」プロセスを可能にするために，業務執行幹部は次のことを行うことが望ましい。

• 事業の観点から適切なパフォーマンス指標を選択する。
• 経営陣が以前に特定した措置の実施とそれらの組織への影響を含む，情報セキュリティのパフォーマンス成果についてのフィードバックを経営陣に提供する。
• 情報リスクと情報セキュリティに影響する新規開発案件について，経営陣に注意を喚起する。

コミュニケーション [5.3.5]

「コミュニケーション」は，経営陣と利害関係者が，双方の特定のニーズに沿った情報セキュリティに関する情報を交換する双方向のガバナンスプロセスである。

「コミュニケーション」の方法の一つは，情報セキュリティの活動と課題を利害関係者に説明する情報セキュリティ報告書であり，その例を附属書Aと附属書Bに示す。

「コミュニケーション」プロセスを実施するために，経営陣は次のことを行うことが望ましい。

• 外部の利害関係者に，組織がその事業特性に見合った情報セキュリティのレベルを実践していることを報告する。
• 業務執行幹部に，情報セキュリティ課題を特定した外部レビューの結果を通知し，是正処置を要請する。
• 情報セキュリティに関する規制上の義務，利害関係者の期待と事業ニーズを認識する。

「コミュニケーション」プロセスを可能にするために，業務執行幹部は次のことを行うことが望ましい。

• 注意が必要な問題，また，できれば決定が必要な問題について，経営陣に助言する。
• 関連する利害関係者に，経営陣の方向性と決定を支援するためにとるべき詳細な行動を指導する。

保証 [5.3.6]

「保証」は，経営陣が独立した客観的な監査，レビュー又は認証を委託するガバナンスプロセスである。これは，望ましいレベルの情報セキュリティを達成するためのガバナンス活動の実行と運営の遂行に関連した目的と処置を特定し，妥当性を検証する。

「保証」プロセスを実施するために，経営陣は次のことを行うことが望ましい。

• 情報セキュリティの望ましいレベルのための説明責任をどのように遵守しているかについて，独立した客観的な意見を委託する。

「保証」プロセスを可能にするために，業務執行幹部は次のことを行うことが望ましい。

• 経営陣から委託される監査，レビュー又は認証をサポートする。