ISO/IEC 27001:2005(JIS Q 27001:2006)規格の1.1 「適用範囲: 一般」には、以下のことが書かれてあります。
「この規格は,あらゆる形態の組織(例えば,営利企業,政府機関,非営利団体)を対象にする。この規格は,その組織の事業リスク全般に対する考慮のもとで,文書化した ISMS(Information security management」system)を確立,導入,運用,監視,レビュー,維持及び改善するための要求事項について規定する。この規格は,それぞれの組織又はその組織の一部が,そのニーズに応じて調整したセキュリティ管理策を導入する際の要求事項について規定する。
このISMS は,情報資産を保護し,また,利害関係者に信頼を与える,十分で,かつ,均整のとれたセキュリティ管理策の選択を確実にするために設計される。」
現在までにISMSの認証を取得した組織数は、1,768組織(2006-9-29現在JIPDECデータ)となっています。
このようにISMSに関わるニーズが強くなってきていますが、ISMSに取り組む組織の人にとって、例えば、JIS Q 27001:2006規格の4.2.2 d)に代表される「管理策の有効性の測定」などリスクが受容できるレベルまで低減していることを確認することと理解したとしても、本件も含むガイドライン規格のISO/IEC 27004(Information security management measurements)も提示されていない状況でどのように進めるかがわかり難い内容を含んだシステムになっています。
本日は,ISO27000シリーズの標準化を進めるISO/IEC JTC1(情報技術)/SC 27(セキュリティ技術)のWG1(要求事項、セキュリティのサービス及びガイドライン)の委員で同規格のJIS化の委員でもある著者がISO/IEC 27001:2005(JIS Q 27001:2006)「情報セキュリティマネジメントシステム-要求事項」規格について詳しく解説している書籍を紹介します。
本書:「ISO/IEC 27001:2005(JIS Q 27001:2006)
詳解 情報セキュリティマネジメントシステム−要求事項」です。
本書は、平野 芳行氏ならびに吉田 健一郎氏の共著で、2006年9月に日本規格協会から発行されています。
本書の帯には、以下の通り書かれてあります。
「規格制定のエキスパートが実務の勘所を明らかにする。
情報セキュリティマネジメントシステムの構築に必要不可欠な一冊!」
本書の「はじめに」の項で、以下のことが書かれてあります。
「本書は、このJIS Q 27001について、以下の内容について解説することを目的としている。
(1) 国際標準及び対応JISの制定の経緯
(2) この規格制定の意図を理解するための指針
(3) 規格で使われている用語及び訳語
(4) この規格本文の要求事項の解説
(5) 付属書A(規定)(JIS Q 27002)の管理目的及び管理策の概要
(6) この規格の利用のためのポイント
(7) 今後のISMS関連規格の動向本書では、JIS Q 27001に記載されている要求事項を規格本文とISMS認証基準Ver2.0とを比較して正確に把握できるよう記述したつもりである。
さらにこの規格は、JIS Q 27002:2006 「情報セキュリティマネジメントシステム実践のための規範」というガイドブックとともに使用することが容易なように構成されている。」
本書は、情報セキュリティマネジメントシステムに取り組む組織にとって要求事項の深い理解のために必要不可欠な一冊かと思われます。
本書の全体像は、これまでの説明と目次から把握できるかと思われますが、第6章については、8つのQ&Aの形式でISMSの導入・運用のポイントを解説しています。
なお本書の目次は、以下の内容です。
第1章 ISO/IEC 27001(JIS Q 27001)の制定の概要
1.1 ISO/IEC 27001の制定及びその経緯
1.2 ISO/IEC 27001の制定の要点
1.3 ISO/IEC 27001の制定の成果
1.4 ISO/IEC 27001のJIS化
第2章 この規格の理解のために
2.1 JIS Q 27002との関係
2.2 この規格の様式
2.3 マネジメントシステムの概念
2.4 他のマネジメントシステム規格との関係
第3章 用語及び訳語
3.1 用語の定義
3.2 用語に関する注記
3.3 片仮名書きの使用
3.4 動詞関係の訳語
3.5 動詞以外の訳の選択
3.6 JIS Q 27002:2006で定義された用語
3.7 リスクマネジメント関係の用語
第4章 要求事項の解説
4. 情報セキュリティマネジメントシステム
5. 経営陣の責任
6. ISMS内部監査
7. ISMSのマネジメントレビュー
8. ISMSの改善
第5章 附属書A(規定) 管理目的及び管理策の概要
A.5 セキュリティ基本方針
A.6 情報セキュリティのための組織
A.7 資産の管理
A.8 人的資源のセキュリティ
A.9 物理的及び環境的セキュリティ
A.10 通信及び運用管理
A.11 アクセス制御
A.12 情報システムの取得,開発及び保守
A.13 情報セキュリティインシデントの管理
A.14 事業継続管理
A.15 順守
第6章 この規格の利用のポイント
第7章 情報セキュリティマネジメントシステム(ISMS)関連の標準化の動向
付録 附属書Aの対比表
(広告)
お買い得は見逃せない!毎週更新スペシャルセールコーナー登場。定期チェックは必須!!
- 2006年10月05日
- ISO27001 | ISMS(情報セキュリティマネジメント)
- コメント(0)
- トラックバック(1)
トラックバック一覧
1. ISO/IEC 27000シリーズ [ 「意味?」-ISO用語ミニ辞典 ] 2006年10月05日 12:09