情報セキュリティマネジメントシステムの国際認証規格であるISO/IEC27001:2005(JIS Q 27001:2006)が発行され,それに関連する書籍も相次いで発行されてきています。
ISO/IEC27001:2005(JIS Q 27001:2006)規格の要求事項の分かり易い解説書が発行されていますので紹介します。
本書:「ISO27001規格要求事項の解説とその実務」です。
「情報セキュリティマネジメントの国際認証制度への対応 」との副題がつけられてあります。
本書は、島田 裕次氏、榎木 千昭氏、澤田 智輝氏、内山 公雄氏、五井 孝氏の共著で、日科技連出版社より、2006年7月に発行されています。
本書は、2002年に出版の「ISMS認証基準と適合性評価の解説」を基に、ISO/IEC27001:2005(JIS Q 27001:2006)規格に対応し、新たなICT(情報通信技術)、情報セキュリティ技術、情報セキュリティ監査に対する変化や今後の動向をふまえて、全般的に改訂されたとのことであります。
抽象的に表現されているISO/IEC27001:2005(JIS Q 27001:2006)規格の要求事項を具体的な例をあげて実務的に分かり易く解説しています。またISMS認証基準とISOとの違いも説明されています。
例えば、6項「ISMS内部監査」では、最初に
「6 ISMS 内部監査
組織は,そのISMS の管理目的,管理策,プロセス及び手順について,次の事項を判断するために,あらかじめ定めた間隔でISMS 内部監査を実施しなければならない。
(途中略)
監査された領域に責任をもつ管理者は,発見された不適合及びその原因を除去するために遅滞なく処置がとられることを確実にしなければならない。フォローアップには,とった処置の検証及び検証結果の報告を含めなければならない(箇条8 参照)。
注記 JIS Q 19011:2003 は,ISMS 内部監査の実施のための有益な手引となる場合がある。」
がブロックに取り上げられてあります。
次いで、
-
ISMS内部監査の特徴
-
監査の整備
-
監査員とISMS担当者の違い
-
監査プログラム(監査チェクリスト)の活用
というような内容で、数点の解説図表、イラストを交えて、5頁にわたり、解説させています。
また付属書Aの「管理目的及び管理策」の解説においても、例えば、A 10.4「悪意あるコード及びモバイルコードからの保護」について。
付属書A 10.4項の目的とA 10.4.1「悪意のあるコードに対する管理策」とA 10.4.2「モバイルコードによる管理策」が最初に記載され、次いで
- 悪意あるコードに対する対策
- モバイルコード
について図表を交えて解説されるというスタイルが採られています。
なお本書の裏表紙の部分には、情報セキュリティの重要性が増す昨今、認証を取得するか否かに関わらず、組織の情報セキュリティマネジメントシステムの役立つ内容に構成されていると書かれてあります。
なお本書の目次は、以下の内容です。
第1章 情報セキュリティマネジメントシステムの意義と概要
第2章 情報セキュリティマネジメントの国際規格と認証制度
第3章 用語及び定義
第4章 情報セキュリティマネジメントシステム
第5章 経営陣の責任
第6章 ISMS内部監査
第7章 ISMSのマネジメントレビュー
第8章 ISMSの改善
第9章 「管理目的及び管理策」の解説
(広告)
- 2006年07月26日
- ISO27001 | ISMS(情報セキュリティマネジメント)
- コメント(0)
- トラックバック(1)
トラックバック一覧
1. ISO/IEC 27000シリーズ [ 「意味?」-ISO用語ミニ辞典 ] 2006年10月05日 12:08