Без кейворда

Q 27002：2014 (ISO/IEC 27002：2013)

Q 27002：2014 (ISO/IEC 27002：2013) 目次

Q 27002：2014 (ISO/IEC 27002：2013)

調査会の審議を経て，経済産業大臣が改正した日本工業規格である。これによって，JIS Q 27002:2006は

Information technology-Security techniques-

Code of practice for information security controls

この規格は，組織が，JIS Q 27001［10］に基づく情報セキュリティマネジメントシステム（以下，ISMS

をする必要がある。JIS Q 27001［10］に規定するISMSでは，一貫したマネジメントシステムの総合的な枠

Q 27002：2014 (ISO/IEC 27002：2013)

多くの情報システムは，JIS Q 27001［10］及びこの規格が意味するセキュリティを保つようには設計され

Q 27002：2014 (ISO/IEC 27002：2013)

ISMS及びファミリ規格の概要については，ISO/IEC 27000に示されている。ISO/IEC 270001)は，ISMS

注1) ISMSファミリ規格の用語及び定義については，JIS Q 27000が制定されている。

a) JIS Q 27001［10］に基づくISMSを実施するプロセスで，管理策を選定する。

ISO/IEC 27002:2013，Information technology−Security techniques−Code of practice for information

なお，対応の程度を表す記号“IDT”は，ISO/IEC Guide 21-1に基づき，“一致している”こ

JIS Q 27000 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語

注記対応国際規格：ISO/IEC 27000，Information technology−Security techniques−Information

Q 27002：2014 (ISO/IEC 27002：2013)

security management systems−Overview and vocabulary（MOD）

この規格で用いる主な用語及び定義は，JIS Q 27000による。

Q 27002：2014 (ISO/IEC 27002：2013)

a) 知る必要性（Need to know）各人は，それぞれの職務を実施するために必要な情報へのアクセスだ

b) 使用する必要性（Need to use）各人は，それぞれの職務，業務及び／又は役割を実施するために必

Q 27002：2014 (ISO/IEC 27002：2013)

がある。このような場合，9.4.3のb)，d) 及びe) は適用しない。ほとんどの場合，パスワードは，利用者

Q 27002：2014 (ISO/IEC 27002：2013)

a) 機密性保管又は伝送される，取扱いに慎重を要する情報又は重要な情報を守るための，情報の暗号

b) 完全性・真正性保管又は伝送される，取扱いに慎重を要する情報又は重要な情報の完全性・真正性

Q 27002：2014 (ISO/IEC 27002：2013)

c) 否認防止ある事象又は活動が，起こったこと又は起こらなかったことの証拠を提供するための，暗

d) 認証システム利用者，システムエンティティ及びシステム資源へのアクセスを要求している，又は

注記この規格において，公開鍵（非対称暗号）方式における一対の鍵のうち，“private key”を“プ

Q 27002：2014 (ISO/IEC 27002：2013)

コル（Network time protocol: NTP）は，全てのサーバをマスタクロックに同期させておくために利用する

Q 27002：2014 (ISO/IEC 27002：2013)

スの使用に関する手引が，JIS Q 31000［27］及びISO/IEC 27005［11］に示されている。

Q 27002：2014 (ISO/IEC 27002：2013)

利用）する場合，エンドツーエンドの証明書及び／又は署名管理プロセスを通じたセキュリティの

Q 27002：2014 (ISO/IEC 27002：2013)

BCMに関する情報が，JIS Q 22301［8］，ISO 22313［9］及びISO/IEC 27031［14］に示されている。

Q 27002：2014 (ISO/IEC 27002：2013)

組織の記録の管理に関する追加情報が，JIS X 0902-1［5］に示されている。

Q 27002：2014 (ISO/IEC 27002：2013)

独立したレビューを実施する場合の手引は，ISO/IEC 27007［12］及びISO/IEC TR 27008［13］にも示され

Q 27002：2014 (ISO/IEC 27002：2013)

技術的順守のレビューに関する具体的な手引が，ISO/IEC TR 27008［13］に示されている。

Q 27002：2014 (ISO/IEC 27002：2013)

JIS X 5058-1 セキュリティ技術−かぎ管理−第1部：枠組み

注記対応国際規格：ISO/IEC 11770-1，Information technology−Security techniques−Key

management−Part 1: Framework（IDT）

JIS X 5058-2 セキュリティ技術−かぎ管理−第2部：対称暗号技術を用いるかぎ確立機構

注記対応国際規格：ISO/IEC 11770-2，Information technology−Security techniques−Key

management−Part 2: Mechanisms using symmetric techniques（IDT）

ISO/IEC 11770-3，Information technology−Security techniques−Key management−Part 3: Mechanisms

using asymmetric techniques

JIS X 0902-1 情報及びドキュメンテーション−記録管理−第1部：総説

注記対応国際規格：ISO 15489-1，Information and documentation−Records management−Part 1:

JIS Q 20000-1 情報技術−サービスマネジメント−第1部：サービスマネジメントシステム要求事

注記対応国際規格：ISO/IEC 20000-1，Information technology−Service management−Part 1:

Service management system requirements（IDT）

JIS Q 20000-2 情報技術−サービスマネジメント−第2部：サービスマネジメントシステムの適用

注記対応国際規格：ISO/IEC 20000-21)，Information technology−Service management−Part 2:

Guidance on the application of service management systems（IDT）

JIS Q 22301 社会セキュリティ−事業継続マネジメントシステム−要求事項

注記対応国際規格：ISO 22301，Societal security−Business continuity management systems−

ISO 22313，Societal security−Business continuity management systems−Guidance

[10] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項

注記対応国際規格：ISO/IEC 27001，Information technology−Security techniques−Information

security management systems−Requirements（IDT）

[11] ISO/IEC 27005，Information technology−Security techniques−Information security risk management

[12] ISO/IEC 27007，Information technology−Security techniques−Guidelines for information security

management systems auditing

[13] ISO/IEC TR 27008，Information technology−Security techniques−Guidelines for auditors on information

[14] ISO/IEC 27031，Information technology−Security techniques−Guidelines for information and

communication technology readiness for business continuity

[15] ISO/IEC 27033-1，Information technology−Security techniques−Network security−Part 1: Overview and

[16] ISO/IEC 27033-2，Information technology−Security techniques−Network security−Part 2: Guidelines for

Q 27002：2014 (ISO/IEC 27002：2013)

the design and implementation of network security

[17] ISO/IEC 27033-3，Information technology−Security techniques−Network security−Part 3: Reference

networking scenarios−Threats, design techniques and control issues

[18] ISO/IEC FDIS 27033-4，Information technology−Security techniques−Network security−Part 4: Securing

communications between networks using security gateways

[19] ISO/IEC 27033-5，Information technology−Security techniques−Network security−Part 5: Securing

communications across networks using Virtual Private Networks (VPNs)

[20] ISO/IEC 27035，Information technology−Security techniques−Information security incident management

[21] ISO/IEC FDIS 27036-1，Information technology−Security techniques−Information security for supplier

relationships−Part 1: Overview and concepts

[22] ISO/IEC DIS 27036-2，Information technology−Security techniques−Information security for supplier

relationships−Part 2: Requirements

[23] ISO/IEC 27036-3，Information technology−Security techniques−Information security for supplier

relationships−Part 3: Guidelines for ICT supply chain security

[24] ISO/IEC 27037，Information technology−Security techniques−Guidelines for identification, collection,

acquisition and preservation of digital evidence

[25] ISO/IEC 29100，Information technology−Security techniques−Privacy framework

[26] ISO/IEC 29101，Information technology−Security techniques−Privacy architecture framework

[27] JIS Q 31000 リスクマネジメント−原則及び指針

注記対応国際規格：ISO 31000，Risk management−Principles and guidelines（IDT）

注1) ISO/IEC 20000-2:2005は，2012年に改正されている。

📎📎📎📎📎📎📎📎📎📎