対象試験と出題頻度
JIS Q 27001(ISO/IEC 27001)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで出題される超重要テーマです。
ISMSとセットで出題されることが多いので、両者の関係を正確に理解しておきましょう。
詳細をクリックして確認
ITパスポート
情報セキュリティマネジメント
基本情報技術者
応用情報技術者
★★★★★
ランクS(超重要)絶対に覚える必要あり
用語の定義
JIS Q 27001(ISO/IEC 27001)とは、一言で言うと「ISMSを構築・運用するために満たすべき要求事項を定めた国際規格」のことです。
イメージとしては、「セキュリティの運転免許試験の合格基準」と考えるとわかりやすいでしょう。
運転免許を取るには「視力検査に合格すること」「学科試験で○点以上取ること」「実技試験に合格すること」といった基準がありますよね。ISO/IEC 27001は、ISMSという「セキュリティ免許」を取得するための合格基準を定めた規格です。
情報処理試験を勉強していると、「ISO/IEC 27001とJIS Q 27001って別物なの?」「27001と27002は何が違うの?」と混乱しがちです。結論から言うと、JIS Q 27001はISO/IEC 27001の日本語版であり、内容は同じです。そして27001は「要求事項(〜しなければならない)」、27002は「実践規範(〜するとよい)」という違いがあります。この2点を押さえておけば、試験対策としては十分です。
📊 ISO/IEC 27001の位置づけ
| 項目 | 内容 |
|---|---|
| 正式名称 | ISO/IEC 27001:2022(情報セキュリティ、サイバーセキュリティ及びプライバシー保護―情報セキュリティマネジメントシステム―要求事項) |
| 日本語版 | JIS Q 27001(内容はISO/IEC 27001と同一) |
| 規定内容 | ISMSを構築・運用・維持・改善するための要求事項 |
| 用途 | ISMS認証の審査基準として使用される |
解説
ISO/IEC 27001は、ISMS(情報セキュリティマネジメントシステム)の「設計図」とも言える規格です。「こういう要件を満たせば、ちゃんとしたISMSと認められますよ」という基準を示しています。
ISO/IEC 27001とJIS Q 27001の関係
まず、混乱しやすい「ISO」「IEC」「JIS」の関係を整理しておきましょう。
ISO(国際標準化機構)とIEC(国際電気標準会議)は、国際規格を作成する団体です。情報セキュリティの分野では両者が共同で規格を作成しているため、「ISO/IEC」という名前になっています。
一方、JIS(日本産業規格)は日本国内の規格です。JIS Q 27001は、ISO/IEC 27001を日本語に翻訳し、日本の規格として発行したものです。技術的な内容は完全に同一なので、試験では「ISO/IEC 27001」と「JIS Q 27001」を同じものとして扱って問題ありません。
💡 試験対策のポイント
ISO/IEC 27001 = JIS Q 27001(日本語版)
どちらも「ISMSの要求事項」を定めた規格であり、内容は同じです。試験で「JIS Q 27001について述べたものはどれか」と聞かれても、「ISO/IEC 27001について述べたものはどれか」と聞かれても、同じ知識で対応できます。
27001と27002の違い
試験で最も問われやすいのが、ISO/IEC 27001とISO/IEC 27002の違いです。番号が1つ違うだけなので混同しやすいですが、役割が明確に異なります。
📊 ISO/IEC 27001と27002の比較
| 項目 | ISO/IEC 27001 | ISO/IEC 27002 |
|---|---|---|
| 種類 | 要求事項(Requirements) | 実践規範(Code of Practice) |
| 性質 | 「〜しなければならない」(義務) | 「〜することが望ましい」(推奨) |
| 認証 | ISMS認証の審査基準となる | 認証の基準ではない(参考資料) |
| 内容 | ISMSの枠組み、管理策の要求 | 具体的な管理策のベストプラクティス |
| 日本語版 | JIS Q 27001 | JIS Q 27002 |
覚え方としては、27001が「試験問題」、27002が「参考書」と考えるとわかりやすいです。試験に合格するには試験問題(27001)の要求を満たす必要がありますが、参考書(27002)を読んで勉強すると対策しやすくなる、という関係です。
ISO/IEC 27001の構成
ISO/IEC 27001は、本文と附属書で構成されています。本文にはISMSの枠組みに関する要求事項が書かれており、附属書A(Annex A)には具体的な管理策(セキュリティ対策の項目)のリストが掲載されています。
2022年に改訂された最新版(ISO/IEC 27001:2022)では、附属書Aの管理策が93項目に再編成されました。ただし、試験で管理策の数や具体的な内容を問われることはほとんどないので、「附属書Aに管理策が載っている」という程度の理解で十分です。
📌 ISO/IEC 27001:2022の管理策カテゴリ
・組織的管理策(37項目)
・人的管理策(8項目)
・物理的管理策(14項目)
・技術的管理策(34項目)
※試験では「4つのカテゴリがある」程度を知っておけばOKです。
ISMS認証の仕組み
ISO/IEC 27001は、ISMS認証を取得するための審査基準として使われます。認証を取得したい組織は、ISO/IEC 27001の要求事項を満たすISMSを構築・運用し、認証機関の審査を受けます。
日本では、ISMS-AC(情報マネジメントシステム認定センター)が認証機関を認定し、認定された認証機関が各組織のISMSを審査するという二段構えの仕組みになっています。
📊 ISMS認証取得の流れ
| 段階 | 内容 |
|---|---|
| 1. 構築 | ISO/IEC 27001の要求事項に基づきISMSを構築する |
| 2. 運用 | 構築したISMSを一定期間運用する(実績を作る) |
| 3. 審査 | 認証機関による審査を受ける(文書審査+実地審査) |
| 4. 認証 | 審査に合格すると認証が付与される(有効期間3年) |
| 5. 維持 | 定期審査(サーベイランス)を受けて認証を維持する |
⚠️ 実務でのポイント
実際のISMS認証取得には、通常6か月〜1年程度の準備期間が必要です。文書の整備、従業員への教育、内部監査の実施など、やるべきことは多岐にわたります。
ただし、試験ではこうした具体的な作業内容は問われません。「ISO/IEC 27001がISMS認証の基準である」という関係性を理解しておけば十分です。
試験ではこう出る!
JIS Q 27001(ISO/IEC 27001)は、ITパスポート・情報セキュリティマネジメント・基本情報技術者・応用情報技術者のすべてで頻出です。以下のポイントを確実に押さえておきましょう。
【頻出キーワード】
- ISMSの要求事項を定めた国際規格
- JIS Q 27001 = ISO/IEC 27001の日本語版(内容は同一)
- 27001は「要求事項」、27002は「実践規範(ベストプラクティス)」
- ISMS認証の審査基準として使用される
- 附属書Aに管理策のリストが掲載されている
試験問題で「ISMSの要求事項を定めた規格」や「ISMS認証の審査基準となる国際規格」といった記述があれば、それは「ISO/IEC 27001(JIS Q 27001)」に関する記述です。
📝 IPA試験での出題パターン
ISO/IEC 27001の問題は、「27001と27002の違いを選べ」「ISMS認証に関する記述として適切なものを選べ」といった形式が多いです。特に「27001=要求事項」「27002=実践規範」という違いは頻出なので、確実に覚えておきましょう。また、「JIS Q 27001はISO/IEC 27001の日本語版である」という点も押さえておくと安心です。
【確認テスト】理解度チェック
ここまでの内容を理解できたか、簡単なクイズで確認してみましょう。
Q. JIS Q 27001(ISO/IEC 27001)に関する説明として、最も適切なものはどれでしょうか?
- A. 情報セキュリティ管理策のベストプラクティスを集めた実践規範で、具体的な対策方法を推奨している
- B. ISMSを構築・運用・維持・改善するために満たすべき要求事項を定めた規格で、ISMS認証の審査基準となる
- C. 個人情報の取り扱いに関する要求事項を定めた規格で、プライバシーマーク認証の審査基準となる
正解と解説を見る
正解:B
解説:
JIS Q 27001(ISO/IEC 27001)は、ISMS(情報セキュリティマネジメントシステム)を構築・運用・維持・改善するために満たすべき要求事項を定めた国際規格です。「〜しなければならない」という義務的な記述が特徴で、ISMS認証を取得するための審査基準として使用されます。JIS Q 27001はISO/IEC 27001を日本語に翻訳したJIS規格であり、技術的な内容は同一です。
選択肢Aは「ISO/IEC 27002(JIS Q 27002)」の説明です。27002は「〜することが望ましい」という推奨的な記述が特徴の実践規範です。選択肢Cは「JIS Q 15001(個人情報保護マネジメントシステム)」の説明であり、プライバシーマーク制度の審査基準となる規格です。
