口語訳：ISO27001

～　序　～
　口語訳：ISO14001の序文にも述べていますが、巷でISO9001/14001に適合するマネジメントシステムを構築しようとする会社でよく言われるのは、「ISOの規格文はわかりにくい！というよりチンプンカンプンで、法律文のようだ！」というものです。筆者は法律よりはマシだと思いますが、極めてわかりにくいというのは間違いありません。

　理由としては、一般に普及している日本規格協会(JIS)の訳がISO原文を直訳していて日本語らしくないというのが一つ、小規模な会社がISOの認証を受ける事を目指すようになってきたので、日本語でも書き言葉に慣れていない層が理解する必要に迫られて来るようになっているというのがもう一つだと思います。まだ、その他にも理由はたくさんあるでしょう。全く同じような現象が情報セキュリティマネジメントシステム(ISMS)規格のISO27001でも発生しています。むしろ9001/14001よりひどいくらいです。

　ISO9001/14001に関する『口語訳ISO9001：2000』『口語訳：ISO14001』と同様のサイトを情報セキュリティマネジメントシステムについても設置しようと、当時のBS7799-2について開設したものです。その後切替規格であるISO27001に対応してきました。　タイトルを『口語訳：ISO27001』にしなかったのは、「口語訳：○○○」は宇野　通さんのISO9001が圧倒的に歴史が長く、マネジメント改善研究所もISO9001の理解や「口語訳：ISO14001」を作るために参考にしてきた為、「口語訳：○○○」をこちらで２つ公開してこちらが優勢になるわけにはいかないと考えたからです。（現在では、宇野さんも口語訳ISO14001を公開されています。）

　口語訳ISO9001/14001同様に、目指すのはISO27001に書かれている事をわかりやすく”解説”する事です。元の表現からは少々遠ざかるかもしれません。初心者の皆様にも広く理解して頂ければと考えております。

　皆様もを足がかりに理解を深められ、ご自分でも当サイトに負けないくらいの解説を出来る様になって頂ければ甚幸です。くれぐれも、ISO等の国際規格を理解するときに”国語辞典”は使わないようにして下さい。JIS訳は、それほど正確には訳されていません。このサイトを読んで疑問を持たれたときには、”ISO原文又は対訳版”と英和辞典又は仏和辞典を広げてご検討下さい。もし、当サイトよりも理解しやすい又は正確な解説が思いつかれた方は、ご一報頂けるとたいへん有り難いです

　付属書AについてはISO17799を読めば、かなり理解できるでしょうからこのサイトでは取り扱わない事にしました。尚、ダウンロードページでは扱い始めました。

　～注～　
　JIS Q 27001は、ISO27001対訳版日本語部分とは表現がやや違っています。このサイトを見たのかと思うくらいわかりやすく・正確になっています。「JIS訳」として比較対照して述べてある部分はISO27001対訳版日本語部分を指すと受け取って下さい。尚、JIS Q 27001に対して述べた部分は「JIS版」と表現しています。

～目次～
　　・序文　　　　　　　　　　　　　　　　　　　　　　　　　・４．３．１　文書化一般
　　・１．適用範囲～３．用語の定義　　　　　　　　　・４．３．２　文書の管理
　　・４．１　一般要求事項　　　　　　　　　　　　　　　・４．３．３　記録の管理
　　・４．２．１a)　適用範囲　　　　　　　　　　　　　　　
　　・４．２．１b)　セキュリティポリシー　　　　　　　　　・５．１　経営者のコミットメント
　　・４．２．１c)　リスクアセスメント概要　　　　　　　・５．２．１　経営資源の提供
　　・４．２．１d)　リスクの特定　　　　　　　　　　　　　・５．２．２　訓練、意識及び能力
　　・４．２．１e)　リスクアセスメント　　　　　　　　　
　　・４．２．１f)　リスク対応策の選択　　　　　　　　　・６．　ISMS内部監査
　　・４．２．１g)　管理目的と管理策　　　　　　　　　　・７．１　マネジメントレビュー一般
　　・４．２．１h)　残留リスクの承認　　　　　　　　　　・７．２　レビューの検討材料
　　・４．２．１i)　ＩＳＭＳの承認　　　　　　　　　　　　　・７．３　レビューの結論
　　・４．２．１j)　適用宣言書　　　　　　　　　
　　・４．２．２　ISMSの実施及び運用　　　　　　　　　・８．１　継続的改善
　　・４．２．３　ISMSの監視及び見直し　　　　　　　　・８．２　是正処置
　　・４．２．４　ISMSの維持及び改善　　　　　　　　　・８．３　予防処置

　　　～ISMS構築上のヒント～　　　　　　　　　　　　　～ＦＡＱ　（よくある質問）～
　　　～文書の分類～
　　　～リスクアセスメントの注意点～　　　　　　　　　～効果の測定　解説～
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　継続的改善内容はメルマガにて発信中

～　注意事項　～
　問題を単純にするために、”組織”を会社、”要員”を社員、”経営者”を社長または管理職と読み替えています。会社以外の団体が情報セキュリティマネジメントシステムを構築する場合や、会社の一部で構築する場合、社長さんよりも会長さんが偉い会社、集団指導体制の会社などでは、これらを読み替えて理解して下さい。

　”情報資産”、”監査”などに関しては、明らかに”日常語”ではありませんが、文中で短く言い換える事はムリでした。定義ページなどにリンクを貼っておきますので勘弁下さい。また、扱うのが”情報セキュリティ”という日常あまり話題にならない問題ですし、どうしてもコンピューターやネットワークを取り扱わなければならないので、そちらの専門語は残ってしまいました。(例えば、”スイッチングハブ”なんて言い換えられやしません。)

　当サイトは、ISO27001を理解しやすくした解説ではありますが、これが唯一の解釈というわけではありません。特に、英語を全く読めないで審査をしている人達(ISO27001の審査を標榜しつつ、日本語訳しか持ち歩いていない人達)とはやや相違があるかもしれません。自己責任でご利用下さい。

　当サイトでは、わかりやすくすることを目的に、原文の意味をやや限定的に述べているところや、解説を追加した部分がかなり入っています。一応の理解が出来ましたら、対訳版を参照してご自分でより理解を深める事をお勧め致します。原則的に原文に書いてある事を表現しところは”青字”、原文では言外ににおわせている部分や、BS7799成立以前からの情報セキュリティマネジメントシステムの常識的な事項を追加的に解説した部分を”黒字”で表現するようにしていますので、理解の参考にして下さい。

　当サイトは、改良の為どんどん内容を変更して行きます。変更についてはメールマガジンでお知らせしていきます。尚、改善の助けになりそうなご意見は大歓迎致します。ご意見が寄せられる事も期待して、やや過激な事を書いてある部分もあります。しかしいつか、角がとれて丸くなってしまうかもしれません。

　このサイトの内容は、ごく内輪でご利用頂いて結構ですが、印刷物・インターネットなど多数へ許可無く配布する事はご遠慮下さい。

　連絡先：ｉｎｆｏ３＠ｋｉｒｉｉｓｈｉ．ｎｅｔ　