情報セキュリティマネジメントシステム(ISMS)の第三者認証のための国際規格のISO27001が制定・発行されたことと共に、ここ最近、ISO27001認証を取得する企業が激増してきています。
日本情報処理開発協会(JIPDEC)のデータによると我が国の2008年5月9日現在のISMS認証取得組織は、2653 組織とのことです。 (一方、プライバシーマークの付与を認定された事業者数は、9409社となっています。)
ISO/IEC 27001:2005(JIS Q 27001:2006) に基づく、ISMS認証の取得支援ならびに第三者認証に関係しない情報セキュリティの向上を目的とした企業プロジェクトの支援を通して、情報セキュリティの確保のためには、「情報セキュリティマネジメントシステムの構築・運用をすること」が何よりも大切ととの観点から、ISO 27001をベースとしながら、特に認証取得にこだわらずに情報セキュリティマネジメントシステムを手軽に構築・運用できるように情報セキュリティマネジメントシステムの構築と運用のポイントを解説している本を紹介します。
本書では、第1部において、経営者、プロジェクトリーダーに向けて情報セキュリティの全体像を解説し、次いで第2部では、情報セキュリティマネジメントシステムを構築していくプロジェクトの進行手順を解説し、そして第3部で、規格の付属書Aの明快な解説といった構成で、情報セキュリティマネジメントシステムを通して企業が本当に強くなる方法について伝授しています。
本書:「ISO27001でひもとく 情報セキュリティマネジメントシステム」です。
本書は、著者:ブレインワークス にて、2008年4月にカナリア書房より発行されています。
本書の帯には、以下のように書かれてあります。
なぜ、情報セキュリティが
定着しないのか?
ISO 27001の認証取得をベースに、
マネジメントシステムの構築と運用を
プロがこっそり教えます!
情報セキュリティで
企業が本当に強くなる方法が
分かった。
本書は、上で紹介したように3部から構成されています。各部の意図に応じてその内容の構成も少し変わっています。また部の終わりなどに「ITはブラックボックス化」などの『コラム』の欄が設けられ、興味深いトピックスが取り上げられています。
本書の内容についてざっと紹介していきます。
第1部では、「情報セキュリティマネジメントシステム構築とは」
として、情報セキュリティの全体像について解説しています。企業経営と情報セキュリティの関わりについて幾つかの話題を取り上げ、情報セキュリティとは、玄関マットを敷く考え方と同じく物理的境界線を定め、リスクマネジメントにも関わるという話題など情報セキュリティの本質から第三者認証までについて解説しています。また情報セキュリティマネジメントシステムの構築について、やるべきことをリストアップするプランニングから始め、セキュリティプロジェクトについて行き詰まって失敗するケースを解説し、成功する上での留意ポイントなどを解説しています。情報セキュリティの、マネジメントサイクルを構築して、徐々にレベルアップを図るような方策が適切としています。
第2部では、「ISMSプロジェクト」
として、ISMSの構築に向けてISMSプロジェクトを立ち上げて、どのようなステップでISMSを構築・推進するかを解説しています。最初に 準備→計画→運用→監査→改善→審査のプロジェクトのフローを示し、各ステップを章立てして、主要な活動プロセスについて、そのフローでの位置づけ、とくにそのプロセスでの重要事項やポイントを箇条書きで抜き出した『プロセスのツボ』、次いでそのプロセスがなぜ必要なのかを解説している『プロセスの目的』、さらにプロセスの具体的な進め方を解説している『プロセスの進め方』との構成でISO/IEC 27001:2005(JIQ Q 27001:2006)に基づく、情報セキュリティマネジメントシステムの構築の手順を解説しています。
第3部では、「付属書Aの解説」
として、ISO 27001の付属書Aの133項目の詳細管理策について、ISO及びJISでの記述が難解だとして、前記管理策について分かり易く記述した『解釈』ならびに具体的な活用の例を記載した『管理策例』でA.15.3.2 といった条項番号について表でまとめて分かり易く解説しています。本来の情報セキュリティの目的に合致した使い勝手を重視したものとのことでJISの本文とは少し違った箇所もあります。
本書は、ISO/IEC 27001:2005(JIS Q 27001:2006)規格をベースとする情報セキュリティマネジメントシステムの構築と運用のポイントが明確に整理されて分かり易く解説されていると思います。
本書は、とくに組織においての情報セキュリティの定着、ISO 27001の認証取得に関心がある関係者には、お薦めの一冊です。
なお本書の概要目次は、以下の通りです。
第1部 情報セキュリティマネジメントシステム構築とは
第1章 経営における情報セキュリティの本質
第2章 情報セキュリティマネジメントシステムの構築
第2部 ISMSプロジェクト
ISMSプロジェクトをはじめるにあたって
第1章 準備
第2章 計画
第3章 運用
第4章 監査
第5章 改善
第6章 審査
第3部 付属書Aの解説
A.5 セキュリティ基本方針
A.6 情報セキュリティのための組織
A.7 資産の管理
A.8 人的資源のセキュリティ
A.9 物理的及び環境的セキュリティ
A.10 通信及び運用管理
A.11 アクセス制御
A.12 情報システムの取得、開発及び保守
A.13 情報セキュリティインシデントの管理
A.14 事業継続管理
A.15 順守
(広告)
- 2008年05月13日
- ISO27001 | ISMS(情報セキュリティマネジメント)
- コメント(0)