JIS Q 27001の6.1.3 d) は適用宣言書に関する要求事項です。
JIS Q 27001 6.1.3 d)は誤訳ではないか
JIS Q 27001の6.1.3 d) は適用宣言書に関する要求事項です。
- d) 次を含む適用宣言書を作成する。
- ・必要な管理策及びそれらの管理策を含めた理由 ・それらの管理策を実施しているか否か ・附属書Aに規定する管理策を除外した理由;
「必要な管理策及びそれらの管理策を含めた理由」を適用宣言書に記載する旨が要求されているのですが、各社は何を書いているのでしょうか?例えば「通信の暗号化」という管理策について、その管理策を含めた理由は「第三者に通信内容を傍受し、機密が漏えいする可能性があるから」とするのでしょうか。このようなことを書き連ねても、紙の無駄としか思えません。もしかしたら誤訳なのではないかと原文(英語)にあたってみることにしました。
英文から考えるとどうなるのか
まず英文を確認してみます。
- d) produce a Statement of Applicability that contains
- the necessary controls and justification for inclusions, whether they are implemented or not, and the justification for exclusions of controls form Annex A;
“the necessary controls and justification for inclusions”の訳が「必要な管理策及びそれらの管理策を含めた理由」となっています。”justification”は「理由」としていますが、「正当だと弁明すること」と捉えた方が正しい解釈が可能となります。また”inclusion”の後には”controls form Annex A”が省略されていると考えるべきです。そうすることで全体がしっくりときます。また、whether~の部分は挿入句として考えたました。
当社側で下記のように日本語訳をおこない、ネイティブにも確認したのですが、こちらの方が正しい可能性が高いとの返答がありました。
- d) 次を含む適用宣言書を作成する。
- ・必要な管理策及びそれらの管理策が附属書Aに規定する管理策を含んでいることの正当性(既に実装しているか否かは問わない) ・附属書Aに規定する管理策を除外したことの正当性
適用宣言書はどのように記載すべきなのか
それでは、JIS規格にそのまま従った場合の適用宣言書の記載内容と英文から考えた場合の記載内容を比べてみましょう。
- A9.4.3 パスワード管理システム
- パスワード管理システムは、対話式でなければならず、また、良質なパスワードを確実とするものでなければならない。
<JIS規格にそのまま従った場合>
文字列の複雑さが十分でないパスワードが設定された場合は、なりすましによる認証がおこなわれる危険があるため。
<英文から考えた場合>
ドメインコントロールサーバにパスワードポリシーを設定し、「英数記号を含む8文字以上の文字列」「有効期間90日」をユーザに強制している。
どちらが意味のある記載なのかは、明らかだと思います。
