ISMS構築・認証取得ハンドブック
スポンサードリンク
ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得組織数は、2008年12月26日時点で、JIPDEC(財団法人日本情報処理開発協会)によると登録:2,960、公表:2,820との組織数となっています。
なおISMSの認証取得に関する参考文書等は、こちらのJIPDECのサイトから入手できます。
多数のISMSのクライアントへのコンサルティング支援の実績を持つ筆者が、ISO/IEC 27001の認証(ISMS適合性評価制度)を取得する上で必要とされるISMS構築から運用までのポイントを要領よくまとめるとともに、必要とされるISMS文書の事例を多数掲載して解説している本を紹介します。
とくにISMSに取り組む際のハードルとされるリスクマネジメントとマネジメントシステムの文書化についてどのように推進すれば良いか。
さらに一般に難しいとされる有効性測定、ISMSの事業継続管理などについても丁寧に解説しています。
ISMS文書の事例については、本文に加えてこれらをMS-WORD文書のひな形として収録したCD-ROMも添付されていて参考になります。
<<ポイント>>
ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得に向けての構築と運用の実践ガイド本。
本書の「まえがき」でも本書の意図した点について以下のように述べています。
ISMSの構築と運用をターゲットに選び、一連の流れをとおして、情報セキュリティのリスクマネジメントの構築とISMSの文書化及びISMSの運用について、その勘所に重点を置いて解説した。そして、具体的なイメージを読者に理解していただくためにコンサルティングで実際に使用する文書例と手順を掲載することにより、すぐに役立つ情報セキュリティマネジメントシステムの構築手引きとして構成した。これによって初心者には難解といわれる規定については、事例を通じて読者の理解を助ける工夫をした。
本書:「ISMS構築・認証取得ハンドブック」です。
「ISO/IEC 27001対応 情報セキュリティマネジメントシステムの事例集」との副題が付いています。
本書は、羽生田 和正氏、 池田 秀司 氏、ならびに荒川 誠実 氏の共著にて、2008年12月に日科技連出版社より「情報セキュリティライブラリ」の一冊として発行されています。
<<本書のエッセンスの一部>>
本書の帯、並びに表紙カバーの折り返し部には、以下のように書かれてあります
すぐに使えるISO/IEC 27001対応 ISMS認証取得のパスポート。
ISMS文書のモデルを満載!(CD-ROM付)
事例でわかる!ISMS構築・認証取得の実践ガイド
本書は、ISO/IEC27001の認証(ISMS適合性評価制度)を取得するために必要なポイントを簡潔にまとめるとともに、必要とされるISMS文書の事例を多数掲載しています。これらの事例(モデル)は、CD−ROMにも収録されており、読者がISMSを構築する際の工数低減に役立ちます。また、一般に難しいとされる「リスクマネジメント」や「有効性の測定」については、丁寧に解説しています。 事例を通じて、ISMSの構築の仕方がすぐに分かります。
本書は、9章から構成されています。
第1章では、「情報セキュリティの概要」
として、情報セキュリティの定義に始まり、情報セキュリティマネジメントシステムについてISO/IEC 27001、ISO/IEC 27002を中心にISMSの経緯と規格の基本的な考え方を解説し、さらにISO/IEC 27000~27007に至るISO/IEC 27000ファミリー規格の概要、ISO 19011、ISO/IEC 20000、BS 25999、ISO/IEC 14408などのISMS関連規格、ISMSと個人情報保護、ISMSと内部統制といった制度との関連含めて情報セキュリティの概要を解説しています。
第2章では、「ISMS構築の留意点」
として、ISMSを構築する上で留意すべきポイントについて、リスクマネジメントをはじめ文書化、内部監査とマネジメントレビュー、有効性測定、事業継続管理、プロジェクト管理、規格の理解、教育研修と意識向上プログラムなど、準備・計画段階から認証審査段階に至るポイントについて、筆者のコンサル経験に基づくノウハウや考え方を中心に全体を概観しています。
第3章では、「ISMSの準備・計画」
として、準備・計画フェーズで必要な作業について、立ち上げ、事前学習と予備調査、適用範囲の選定、構築スケジュール・構築費用などの各ポイントの検討とISMS基本計画書の作成、経営者の承認までの活動を取り上げ解説しています。
第4章では、「ISMSの枠組み構築」
として、ISMSの推進体制、適用範囲とISMS基本方針、適用範囲の現状分析と基本対策、さらにISMSの文書化の取り組みについて解説しています。
第5章では、「リスクマネジメント」
として、リスクマネジメントの流れの解説にはじまり、サンプルの実施フォーマットを活用しながらGAP分析など脆弱性分析、脅威分析などのリスクアセスメント手法、またリスク対応方針の決定からリスク対応計画に至るリスク対応のための実施方法についてフロー図や各種の図表を交えて解説しています。
第6章では、「有効性の測定と事業継続管理」
として、ISMS全体から管理策の有効性の判定までと事業継続上のリスクアセスメントを含む事業継続管理について基本的な考え方から具体的実施手順までを解説しています。
第7章では、「ISMSの運用」
として、認証取得がゴールではなくスタートとの観点から最初の運用フェーズについて試行運用であるとの位置づけから解説しています。日常の運用サイクルから内部監査、マネジメントレビューを通したISMSの運用の基本的なマネジメントサイクルの流れを解説しています。
第8章では、「内部監査とマネジメントレビュー」
として、内部監査、マネジメントレビュー、及びISMSの有効性の改善に関わる是正処置・予防処置の手順を中心に関連記録類の作成の事例解説を交えて解説しています。
第9章では、「ISMSの認証審査」
として、認証審査のついて認証機関の選定から、初回の審査の流れ、初回以降の審査の種類などISMSの認証及び維持の審査はどのようなものかを解説しています。
以降は、CD-ROMにもWORD文書として収録されている以下のようなひな形文書の資料集となっています。
情報セキュリティ基本方針/適用範囲文書/ISMSマニュアル/文書管理規程/コンプライアンス規程/教育訓練規程/セキュリティ対策基準/リスクマネジメント規程/インシデント管理規程/是正・予防処置規程/有効性測定規程/事業継続管理規程/内部監査規程/マネジメントレビュー規程/ISMS基本計画書(案)/内部監査チェックリスト
<<本書で何が学べるか?>>
本書は、ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得に向けての構築と運用の実践ガイド本としてまとまった内容となっています。
とくにISMSのひな形の文書がすぐに利用できるCD-ROMで提供されていてISMSの構築・実施・改善の活動に役立つ事例も豊富です。
<<まとめ>>
これからISO/IEC 27001に基づく情報セキュリティマネジメントシステムの認証取得を考えておられる組織の関係者やすでにISMSの認証を取得されている組織の継続的の活動に関わる関係者には、本書は、身近において活用するハンドブックとしてお奨めです。
なお本書の目次は、以下の内容です。
第1章 情報セキュリティの概要
第2章 ISMS構築の留意点
第3章 ISMSの準備・計画
第4章 ISMSの枠組み構築
第5章 リスクマネジメント
第6章 有効性の測定と事業継続管理
第7章 ISMSの運用
第8章 内部監査とマネジメントレビュー
第9章 ISMSの認証審査
付録 ISMS構築に役立つ文書例
(広告)
| 【このページをソーシャルブックマークしてみんなに紹介する!】 |
 Yahoo!ブックマーク |
 はてなブックマーク |
 livedoorクリップ |
 FC2ブックマーク |
 Buzzurlブックマーク |
 newsingブックマーク |
 イザ!ブックマーク |
 del.icio.usブックマーク |
 ニフティクリップ |
 BlogPeople Instant Bookmark |
 PingKingポッケ |
お探しの本や情報がございませんでしたらこちらで検索して下さい!
スポンサードリンク
