ISO/IEC 27001:2005(JISQ 27001:2006)規格の序文のブロセスアプローチの項で以下のように記載されています。
「この規格が規定する情報セキュリティマネジメントのためのプロセスアプローチでは,利用者が次の点を重視することを期待する。
a) 組織の情報セキュリティ要求事項を理解し,かつ,情報セキュリティのための基本方針及び目的を確立する必要性を理解する。
b) その組織の事業リスク全般に対する考慮のもとで,組織の情報セキュリティリスクを運営管理するための管理策を導入し,運用する。
c) そのISMS のパフォーマンス及び有効性を監視し,レビューする。
d) 客観的な測定に基づいて継続的に改善する。」
本日は、上記のような視点で、ISO/IEC27001規格の概要から、ISO/IEC27001を利用して情報セキュリティマネジメントシステムを構築する手順、ISO/IEC27001の規格要求事項及び付属書の管理策までを解説している書籍を紹介します。
本書」:「(ISO/IEC27001)情報セキュリティマネジメントシステム(ISMS)構築読本」です。
本書には、「情報資産の利便性と保護の両立を目指して」との副題が付けられてあります。
本書は、著者:志村 満 氏で日本コンサルタントグループより、2006年7月に発行されています。
本書では、第1章でISO/IEC27001の概要が、第2章では、ISMSの構築の手順が解説されます。
第3章には、ISO/IEC 27001規格の要求事項についての解説が掲載されています。
また第4章で、ISO/IEC 27001規格の付属書A「管理目的及び管理策」についての解説がされるという内容になっています。
内容的には、イラストや図表を用いて、読者が分かり易く理解できるように工夫されています。
なお本書の目次は、以下の内容となっています。
第 1 章 : ISO/IEC27001の概要
第 2 章 : ISO/IEC27001の導入手順
ISMS導入スケジュールの立て方
統合マネジメントシステムとしての構築
リスクアセスメントの進め方
内部監査及びマネジメントレビュー
登録審査
第 3 章 : ISO/IEC27001の規格要求事項の理解
ISMSの運用範囲他
用語及び定義
情報セキュリティマネジメントシステム
第 4 章 : ISO/IEC27001の附属書A−管理策の理解−
適用宣言書及び附属書Aの全体構造
A. 5 セキュリティ基本方針
A. 6 情報セキュリティのための組織
A. 7 資産の管理
A. 8 人的資産のセキュリティ
A. 10 通信及び運用管理
A. 11 アクセス制御
A. 12 情報システムの取得、開発及び保守
A. 13 情報セキュリティインシデントの管理
A. 15 順守
