ISMS(情報セキュリティマネジメント）に関する本や情報を紹介します！

なお本書の目次は、以下の内容です。
第Ⅰ部　情報セキュリティの動向と展望
第１章　総論
第１節　利用者側の動向と展望
第２節　供給者側の動向と展望
第３節　制度及び人的な基盤の動向と展望
第２章　個別テーマ
第１節　IT社会を支える基盤としてのアイデンティティ管理
第２節　暗号の安心性低下によるシステム移行立案にあたっての問題
第３節　組込みシステムのセキュリティ
第Ⅱ部　2007年の10大脅威
【１位】高まる「誘導型」攻撃の脅威
【２位】ウェブサイトを狙った攻撃の広まり
【３位】恒常化する情報漏えい
【４位】巧妙化する標的型攻撃
【５位】信用できなくなった正規サイト
【６位】検知されにくいボット、潜在化するコンピュータウイルス
【７位】検索エンジンからマルウェア配信サイトに誘導
【８位】国内製品の脆弱性が頻発
【９位】減らないスパムメール
【10位】組み込み製品の脆弱性の増加
付録資料編
付録A　2007年のコンピューターウイルス届出状況
付録B　2007年のコンピューター不正アクセス届出状況
付録C　2007年のソフトウェア等の脆弱性関連情報に関する届出状況
付録D　国内における情報セキュリティ事象被害状況調査
付録E　情報セキュリティに関する脅威に対する意識調査
付録F　組織の情報セキュリティ対策自己診断テスト（情報セキュリティ対策ベンチマーク－）
用語集　
参考文献

情報セキュリティ

情報処理推進機構

（広告）

ライセンスオンラインアドビ製品ストア

「ＩＳＯの本棚」ページのトップへ！

タグ: 情報セキュリティ情報処理推進機構

ISO27001でひもとく情報セキュリティマネジメントシステム

情報セキュリティマネジメントシステム（ISMS）の第三者認証のための国際規格のISO27001が制定・発行されたことと共に、ここ最近、ISO27001認証を取得する企業が激増してきています。

日本情報処理開発協会（JIPDEC）のデータによると我が国の2008年5月9日現在のISMS認証取得組織は、2653 組織とのことです。（一方、プライバシーマークの付与を認定された事業者数は、9409社となっています。）

ISO/IEC 27001:2005（JIS Q 27001:2006）に基づく、ISMS認証の取得支援ならびに第三者認証に関係しない情報セキュリティの向上を目的とした企業プロジェクトの支援を通して、情報セキュリティの確保のためには、「情報セキュリティマネジメントシステムの構築・運用をすること」が何よりも大切ととの観点から、ISO 27001をベースとしながら、特に認証取得にこだわらずに情報セキュリティマネジメントシステムを手軽に構築・運用できるように情報セキュリティマネジメントシステムの構築と運用のポイントを解説している本を紹介します。

本書では、第1部において、経営者、プロジェクトリーダーに向けて情報セキュリティの全体像を解説し、次いで第2部では、情報セキュリティマネジメントシステムを構築していくプロジェクトの進行手順を解説し、そして第3部で、規格の付属書Ａの明快な解説といった構成で、情報セキュリティマネジメントシステムを通して企業が本当に強くなる方法について伝授しています。

本書：「ISO27001でひもとく情報セキュリティマネジメントシステム」です。

本書は、著者：ブレインワークスにて、2008年4月にカナリア書房より発行されています。

本書の帯には、以下のように書かれてあります。

なぜ、情報セキュリティが

定着しないのか？

ISO 27001の認証取得をベースに、

マネジメントシステムの構築と運用を

プロがこっそり教えます！

情報セキュリティで

企業が本当に強くなる方法が

分かった。

本書は、上で紹介したように3部から構成されています。各部の意図に応じてその内容の構成も少し変わっています。また部の終わりなどに「ITはブラックボックス化」などの『コラム』の欄が設けられ、興味深いトピックスが取り上げられています。

本書の内容についてざっと紹介していきます。

第1部では、「情報セキュリティマネジメントシステム構築とは」
として、情報セキュリティの全体像について解説しています。企業経営と情報セキュリティの関わりについて幾つかの話題を取り上げ、情報セキュリティとは、玄関マットを敷く考え方と同じく物理的境界線を定め、リスクマネジメントにも関わるという話題など情報セキュリティの本質から第三者認証までについて解説しています。また情報セキュリティマネジメントシステムの構築について、やるべきことをリストアップするプランニングから始め、セキュリティプロジェクトについて行き詰まって失敗するケースを解説し、成功する上での留意ポイントなどを解説しています。情報セキュリティの、マネジメントサイクルを構築して、徐々にレベルアップを図るような方策が適切としています。

第2部では、「ISMSプロジェクト」
として、ISMSの構築に向けてISMSプロジェクトを立ち上げて、どのようなステップでISMSを構築・推進するかを解説しています。最初に準備→計画→運用→監査→改善→審査のプロジェクトのフローを示し、各ステップを章立てして、主要な活動プロセスについて、そのフローでの位置づけ、とくにそのプロセスでの重要事項やポイントを箇条書きで抜き出した『プロセスのツボ』、次いでそのプロセスがなぜ必要なのかを解説している『プロセスの目的』、さらにプロセスの具体的な進め方を解説している『プロセスの進め方』との構成でISO/IEC 27001:2005（JIQ Q 27001:2006）に基づく、情報セキュリティマネジメントシステムの構築の手順を解説しています。

第3部では、「付属書Ａの解説」
として、ISO 27001の付属書Ａの133項目の詳細管理策について、ISO及びJISでの記述が難解だとして、前記管理策について分かり易く記述した『解釈』ならびに具体的な活用の例を記載した『管理策例』でA.15.3.2 といった条項番号について表でまとめて分かり易く解説しています。本来の情報セキュリティの目的に合致した使い勝手を重視したものとのことでJISの本文とは少し違った箇所もあります。

本書は、ISO/IEC 27001:2005（JIS Q 27001:2006）規格をベースとする情報セキュリティマネジメントシステムの構築と運用のポイントが明確に整理されて分かり易く解説されていると思います。

本書は、とくに組織においての情報セキュリティの定着、ISO 27001の認証取得に関心がある関係者には、お薦めの一冊です。

ISO27001でひもとく情報セキュリティマネジメントシステム

カナリア書房

ブレインワークス（著）

発売日：2008-04

発送時期：通常24時間以内に発送

ランキング：532809

amazon.co.jpで詳細をみる (Amazy)

なお本書の概要目次は、以下の通りです。
第1部情報セキュリティマネジメントシステム構築とは
第1章経営における情報セキュリティの本質
第2章情報セキュリティマネジメントシステムの構築
第2部 ISMSプロジェクト
ISMSプロジェクトをはじめるにあたって
第1章準備
第2章計画
第3章運用
第4章監査
第5章改善
第6章審査
第3部付属書Ａの解説
A.5 セキュリティ基本方針
A.6 情報セキュリティのための組織
A.7 資産の管理
A.8 人的資源のセキュリティ
A.9 物理的及び環境的セキュリティ
A.10 通信及び運用管理
A.11 アクセス制御
A.12 情報システムの取得、開発及び保守
A.13 情報セキュリティインシデントの管理
A.14 事業継続管理
A.15 順守

（広告）

タグ: ISO27001 情報セキュリティマネジメントシステム ISMS 情報セキュリティ

ビジネスマンのための情報セキュリティ入門

米マイクロソフトによる４４６億ドルに及ぶインターネットのポータルサイト運営の大手、米ヤフーへの買収提案について、更に敵対的ＴＯＢまでの展開の可能性が噂されています。

またこれに関係して米ヤフーの提携先にグーグルをはじめ、イーベイ、アメリカ・オンライン（ＡＯＬ）、ニューズ・コーポレーション、ＡＴ＆Ｔなどとの企業名が取り沙汰されるなど米のIT業界は活発な動きをみせています。

この動きが将来にどのようなインパクトをもたらすのか注目されます。

さて、本日は、企業の一般社員や管理職のビジネスパーソンを対象に情報セキュリティの基本について、必要な知識・情報を技術的な部分を最小限にして、各人の日常的な行動に活かせるとの観点から情報セキュリティに関する事象や話題について網羅的に解説している入門書を紹介します。

本書では、情報漏洩の防止や事業継続管理、個人情報保護、情報セキュリティマネジメントシステム、リスクマネジメントシステム、情報セキュリティリテラシーの強化など情報セキュリティに関する重要なトピックスが網羅されています。

本書：「ビジネスマンのための情報セキュリティ入門」です。

本書は、著者：林國之氏、ならびにキヤノンシステムソリューションズ株式会社、セキュリティソリューション事業部の編にて、2008年1月に東洋経済新報社より発行されています。

本書の帯には、以下のように書かれています。

「備えあれば憂いなし！

企業の一般社員や派遣社員を対象に、

インターネットや電子メール、ＰＣの持ち出しにおける注意事項など

情報セキュリティに関して

必要な情報・知識を網羅した入門書の決定版！」

本書は、11章から構成されています。

第１章では、「企業における情報セキュリティの対象」
として、「セキュリティとは」に始まり、セキュリティの意味や一般的な考え方から、企業・団体において守るべき情報資産としてどのようなものがあるかなど情報セキュリティんほ対象について解説しています。

第２章では、「情報セキュリティを取り巻く状況」
として、企業が果たすべき社会的責任の一端として情報セキュリティが求められているという今日の状況に至る従来からの情報セキュリティ対策に関わるインターネットによる被害や情報漏洩事故などの諸現象について解説し、どのような問題や課題を含んでいるかについても解説しています。

第３章では、「情報漏えい事故の防止」
として、情報漏洩事故を防止・抑制するための対策について、何故情報漏洩事項が起こるのかの原因系の分析から、情報漏洩の防止・予防のために必要な技術的観点も含めて解説しています。

第４章では、「インターネットの安全を図る」
として、インターネットにおける脅威やインターネットを通しての攻撃方法などについて整理し、その対策のために必要な要素技術並びにそれぞれについての対策方法について解説しています。

第５章では、「電子メールの安全を図る技術」
として、とくに身近な電子メールについてその脅威と安全対策のための基本的な施策から技術などを解説しています。

第６章では、「情報資産のライフサイクルマネジメント」
として、情報資産について、情報が生成され、利用され、消滅するまでの情報資産のライフサイクルについて整理し、どこに問題があり、どのように対処すれば効果的かなど情報資産のライフサイクルマネジメントの基本事項を解説しています。

第７章では、「情報セキュリティマネジメントシステム」
として、情報セキュリティマネジメントシステムの構築から、実施、維持の活動を通して問題や課題を設定し、解決することで社員の意識向上と情報セキュリティマネジメントの実践力を高めることができるとして情報セキュリティマネジメントシステムの概要を解説しています。

第８章では、「個人情報保護」
として、OECD８原則に始まる個人情報保護法の成立した経緯から、プライバシーマーク認証制度とJISQ15001:2006規格の要求事項の概要、個人情報保護マネジメントシステム、個人情報の漏洩事件、さらには個人情報保護のための取組活動について解説しています。

第９章では、「事業継続管理」
として、大規模なシステム障害やテロ、法令に違反した食品製造などの予期しない事故等により事業の継続に支障をきたす事態に適切に対処するための事業継続管理について、その必要性の背景から、事業継続管理（BCP：Business Community Management）の構築の概要と事業継続計画（BCP：Business Community Plan）の考え方からその事業継続のための重要事項も含めて内容を解説しています。

第10章では、「リスクマネジメントシステム」
として、情報セキュリティにおけるリスク管理の現状に始まり、業務の内部統制管理との関係、取引に関する情報セキュリティ上のリスク軽減策、さらにリスクマネジメントシステムについて、ISMS、個人情報保護、事業継続管理、内部統制の関連、さらにJIS Q 2001 ：「リスクマネジメントシステム構築のための指針」など情報セキュリティに関わるリスクマネジメントシステムの構築について解説しています。

第11章では、「情報セキュリティリテラシーの強化」
として、情報セキュリティの問題は、人の問題で、企業や団体の情報セキュリティは、その組織を構成する人々により維持されるとのことから、組織の人たちの力量の向上、職場のあり方など「積極的な情報セキュリティに関する能力」をテーマに、その能力はどのようなものか、行政等の能力向上の取組、能力向上にどう活用したら良いかなどを解説しています。

情報セキュリティに関わるビジネスパースンが求められる広範囲な内容について、網羅的にまた日常的な行動の考え方など分かり易く解説しています。

ビジネスマンのための情報セキュリティ入門

東洋経済新報社

林國之（著）キヤノンシステムソリューションズセキュリ（編さん）

発売日：2008-01

発送時期：通常24時間以内に発送

ランキング：58925

amazon.co.jpで詳細をみる (Amazy)

なお本書の目次は、以下の内容です。
第１章企業における情報セキュリティの対象
第２章情報セキュリティを取り巻く状況
第３章情報漏えい事故の防止
第４章インターネットの安全を図る
第５章電子メールの安全を図る技術
第６章情報資産のライフサイクルマネジメント
第７章情報セキュリティマネジメントシステム
第８章個人情報保護
第９章事業継続管理
第10章リスクマネジメントシステム
第11章情報セキュリティリテラシーの強化

（広告）

タグ: 情報セキュリティ個人情報保護事業継続管理リスクマネジメント

実践ISMS講座情報セキュリティマネジメントと経営戦略

実践ISMS講座情報セキュリティマネジメントと経営戦略

静岡大学総合情報処理センターでの2003年10月～2007年11月までの5年間にわたるISO/IEC 27001に基づくISMS（：情報セキュリティマネジメントシステム）活動の実践内容と運用手法を中心にISMSの構築と運用について解説している本を紹介します。

　新書版ながら情報セキュリティの向上、業務の効率化を実現するための効果的な啓蒙活動や安価なツールの活用、更には、効率的で安価な文書管理手法などに関するノウハウや研究成果を含め実践的なISMS活動の解説書となっています。

本書：「実践ISMS講座 情報セキュリティマネジメントと経営戦略」です。

本書は、静岡大学ISMS研究会の長谷川孝博先生、伊藤賢氏、井上春樹先生の共著ならびに八卷直一先生の監修にて、2007年12月に静岡学術出版理工学新書070003として発行されています。

本書の裏表紙の折り返し部には、本書の内容紹介で以下のことが書かれてあります。

「13000名のユーザが利用する大規模かつ自由度の高い大規模組織内ネットワーク!
これに対して、わずか10数名の情報セキュリティチーム!果たして真の情報セキュリティ文化は、構築できたのでしょうか!

本書は、この問題解決を目指しISO27001の認証取得とその運用を通して果敢に取り組んできた少人数セキュリティ部署の成功の記録をまとめたものです。

　どの様な施策を行えば情報セキュリティシステムを確立することができ、さらにその高い水準を維持することができるのでしょうか。

　セキュリティ向上、業務の効率化を実現するための効果的な啓蒙活動方法、安価なITツールの効果的活用法、そしてシステム構築の試行錯誤から得た貴重なノウハウ、研究成果など今すぐ役立つ話題満載の実践的ISMS解説書です。

企業、大学など幅広い分野の情報担当者に広くお勧めします。」

本書は、15章からなります。1ページが1項目の読み切りの形式になっています。最初に写真や概念図などの図表で概要がまとめられ、それに解説の本文が続くという構成になっています。好きな箇所から読み始めることができます。通勤・通学の途上で読む進めるのにも好適です。

1章では、「はじめに」として、用語の説明や本書の構成の紹介があります。2章が「ISMSの概説」として、情報が第４の経営資源という話題に始まり、情報のCIA（機密性、完全性、可用性）と基本方針、PDCAとプロセスアプローチ、ISMS規格のPDCA構成などが取り上げられています。

３章では、「身の回りからはじめるISMS」として、ISMSをはじめましょうから始まり心得、基本方針の作成に向けてなどのISMSの基本的な事項について分かり易く解説されています。

４章では、「物理境界のセキュリティ」として、スタンドアロン型入室管理システムから、TVカメラ監視装置までの物理境界のセキュリティについて、５章では、「リスクアセスメント」として、リスクアセンスメント手法の要求要件から、脅威レベルを推定する上での注意、リスクアセスメント手法の種類や考え方について、６章では、「マインドマップ」として、トニー・ブザンのマインドマップ手法をISMSに活用していく静岡大学式の手法について解説されています。

７章では、「その他のＩＴツール」として、ワープロソフト、マインドマップソフト、電子掲示板システムなどのその他の活用されたツールについて解説。８章では、「内部監査（監査）」として、ISMS内部監査の概要から進め方、９章では、「マネジメントレビュー」として、それぞれの概要について解説しています。

１０章では、「大学のISMS」として、大学における情報セキュリティの位置づけ、問題点、運用、ISMSの効能などを解説。１１章では、「情報基盤とISMS」として、静岡大学の情報セキュリティセンターの活動の概要が解説されています。

１２章では、「文書作成と管理」として、また１３章では、「便利なワープロ基本機能」として、ISMSの文書管理手法として実施されたワープロの基本機能や活用手法について、ISMSマニュアル、手順書などの書き方から変更管理の手法など解説しています。

１４章では、「ISMSに関する研究紹介」、１５章では、「ISMS中長期戦略」として、大学でのISMS研究活動について解説しています。この二つの章では、リスクアセスメントの自動化手法など1ページの読み切り形式ではなく論文的な記載形式になっています。

ISO/IEC27001の認証に取り組まれる組織の関係者だけでなく、ISMSの分かり易い啓蒙書として情報セキュリティに関心があるビジネスパーソンにお奨めです。

静岡学術出版

静岡大学ISMS研究会（著）八巻直一（監修）

発売日：2007-12-21

発送時期：通常24時間以内に発送

ランキング：146581

なお本書の目次は、以下の内容です。
１．はじめに
２． ISMS概説
３．身の回りからはじめるISMS
４．物理境界のセキュリティ
５．リスクアセスメント
６．マインドマップ
７．その他のＩＴツール
８．内部監査（監査）
９．マネジメントレビュー
１０．大学のISMS
１１．情報基盤とISMS
１２．文書作成と管理
１３．便利なワープロ基本機能
１４． ISMSに関する研究紹介
１５． ISMS中長期戦略
１６．各種資料
１７．著者紹介及び謝辞

（広告）

タグ: ISO27001 ISMS 情報セキュリティマネジメントシステム八卷直一

スリムに実現するISO27001完全実例集

ISO/IEC 27001:2005（JSIQ27001:2006、情報セキュリティマネジメントシステム）について認証取得したソフトウェア会社がISO27001の社内体制の構築から、マニュアル、規定類、帳票様式のすべての文書実例までを公開し、そのポイントを解説している本を紹介します。

　これから認証取得を目指される組織関係者に、ISO 27001の取得プロセスをわかりやすく実例に基づき解説しています。

　本書は、最小限のスリムな文書数で認証取得を実現した会社の文書を公開し、実際にシステムを構築して文書類を作成するコツを参考例として提示しているものです。

　またISMSの認証取得からPDCAのマネジメントサイクルを運用し継続的な改善の取組の最新のシステムが反映された実例集とのこと。

本書：「スリムに実現するISO27001完全実例集」です。

本書は、著者：村島昭男氏（株式会社ゼロソフト）にて、2007年7月にオーム社より発行されています。

前著の「スリムに実現するISMS完全実例集」のISO27001への改定に対応して内容を大幅に変更した位置づけとなっています。

著者は、「はしがき」の中で、同社がISO27001の認証取得したことによるメリットについて社外的（①～④）と社内的（⑤～⑮）として以下のような点を上げています。

①顧客の要求のセキュリティ対策が、ISO27001の認証で軽減された

②ISO27001認証取得企業としての社会的信頼を得た

③ISO27001認証取得企業として営業が有利に運んだ

④ISO27001認証取得企業としてホームページでＰＲできた

⑤コンプライアンスの実践により各社員がプライドが持てるようになった

⑥日常扱っている情報価値の再認識

⑦情報資産について価値観の統一化ができた

⑧クリアデスクの徹底による社内の整理整頓が進む

⑨情報資産の取扱が均一化

⑩情報のバックアップが整備され安心が増えた

⑪業務上のセキュリティ要求事項に関わる契約への明確な対応

⑫災害時の対策手順が確立し、安心した業務活動

⑬事件、事項に繋がる「ウッカリハット」の事項の管理による未然防止の強化

⑭人的セキュリティの管理策の強化に伴う安心

⑮ISO9001とのマネジメントシステムとしての統合管理

また本書のマニュアル、規定類、帳票様式などの完全実例文書を収録したCD-ROMを株式会社ゼロソフトにて販売中とのことです。

本書は、3章から構成されています。

１章では、「ＩＳＭＳ取得プロセス」
として、ISO27001の認証取得の意思決定をしてから、社内体制を構築し、マニュアルなどのISMSを構築し運用する、また内部監査から審査までのISMSの取得のプロセスを時系列的に解説しています。

２章では、「文書の構成と作成のポイント」
として、ISMSの文書構成の体系から、特にISMSマニュアルの作成のポイント、さらに帳票作成上のポイントと、ISMSの運用上のコツなどを重点にISMS文書をどのように構成し、作成すればよいかといったポイントを株式会社ゼロソフトの事例を基に解説しています。

３章では、「文書実例」
として、この章がISO27001のマニュアル等の文書類の実例が掲載され、本書の中核部分になります。この文書実例では、以下の文書を取り上げています。

情報セキュリティマニュアル
事業継続管理手順
適用宣言書
情報資産管理台帳
リスク対応計画書
残留リスク一覧
情報セキュリティルールブック
システム管理マニュアル
サーバ運用マニュアル

さらに帳票類としては、帳-01：「トラブル報告書」から帳-43：「ストレスチェックシート」までの43種類の帳票類が取り上げられています。

また付録（帳票記入例）として上記の43種類の全ての帳票の記入例が掲載されています。

スリムに実現するISO27001完全実例集

オーム社

村島昭男（著）

発売日：2007-07

発送時期：通常24時間以内に発送

ランキング：154074

amazon.co.jpで詳細をみる (Amazy)

なお本書の目次は、以下の内容です。
1章 ISMS取得プロセス
1.1 取得決定
1.2 社内体制の確立
1.3 ISMSの構築
1.4 内部監査
1.5 審査
2章文書の構成と作成のポイント
2.1 ISMSの文書構成
2.2 ISMSのマニュアル作成ポイント
2.3 帳票作成上のポイント
2.4 運用上のコツ
3章文書実例
　情報セキュリティマニュアル
　事業継続管理手順
　適用宣言書
　情報資産管理台帳
　リスク対応計画書
　残留リスク一覧
　情報セキュリティルールブック
　システム管理マニュアル
　サーバ運用マニュアル
帳票類
付録（帳票記入例）
帳01トラブル報告書/帳02セキュリティ連絡票ほか

（広告）

タグ: ISO27001 ISMS 情報セキュリティマネジメントシステム

国際規格による情報セキュリティの保証手法―CC V3、ISO27002、ISO27005のポイントと具体例 (情報セキュリティライブラリ)

国際規格による情報セキュリティの保証手法

現在は、独立行政法人情報処理推進機構の情報セキュリティ認証室室長でＩＳＯの「セキュリティ評価基準」に関わる国際標準化活動に参画されるなど多年にわたり情報セキュリティの第一人者として関わってきた著者：田渕　治樹氏が、情報セキュリティに関する国際規格であるCommon Criteria V3（ISO/IEC15408）、ISO/IEC27002、ISO/IEC FCD27005にもとづくセキュリティ機能の保証手法を、具体例とポイントを挙げて詳しく分かり易く解説している本を紹介します。

本書：「国際規格による情報セキュリティの保証手法」です。

「CC V3、ISO27002、ISO27005のポイントと具体例」との副題が付いています。

本書は、著者：田渕治樹氏にて、2007年6月に日科技連出版社より発行されています。

同社の【Information Security Library】の一冊になります。

本書の帯には、以下のように書かれてあります。

「内部統制、

個人情報保護に必須！

情報セキュリティの第一人者がそのハウハウを公開

保証のある情報セキュリティを確保する方法がこの一冊でわかる！」

　本書では、製品や情報システムに装備されている安全（セキュリティ）機能がいざというときに動作するか？

もともと必要なセキュリティ機能が製品やシステムに備わっているのか？

これらのセキュリティ機能が正常に動作するはずということをどのようにして評価し、検証したらよいか？

といった情報セキュリティに関わる読者の疑問について、解消してくれるよう情報セキュリティに関する国際規格であるCommon Criteria V3（ISO／IEC15408）、ISO／IEC27002、ISO／IEC FCD27005にもとづくセキュリティ機能の保証手法について、開発者、運用者、評価者やレビュアー、調達に当たる発注者までの読者の立場に応じた活用方法も考慮され、具体例とポイントを挙げて、筆者の多くのノウハウを交えて詳しく解説しています。

また上記の規格に関する部分では、【要求事項】、【ガイダンス】（規格を解釈する上での考え方や作成時の推奨例を記載）、ポイント（特に箇条書きで枠内で括って記載）といった要領でその解説が進められています。

本書は、４部から構成されています。

第Ⅰ部では、「情報セキュリティ機能の保証」
として、３つの章から成ります。すなわち、セキュリティ保証の必要性から始まり、そのセキュリティ保証を確保する本書の全貌の解説に続いて、リスク管理についての概説から用語の定義、リスク管理のプロセス（ISO/IEC FCD 27005 情報セキュリティリスク管理）に基づくリスクの評定、セキュリティ対策の策定）、ISMSの解説などここでは、セキュリティ保証および情報セキュリティ評価認証制度などの概要が解説されています。

第Ⅱ部では、「セキュリティ目標」
として、９つの章から成ります。ここでは、Common Criteria V3（ISO／IEC15408）のパート１：「情報セキュリティ評価基準」に基づくセキュリティ目標（以下STと略）の設定について、STの位置づけから始まり、CC（Common Criteria for Information Technology Security Evaluation）評価保証レベル（EAL）、CEM、TOE、識別などのSTの概要の解説に続けて、以降、章タイトルのみ紹介するとST作成、ST概説、適合主張、セキュリティ課題定義、セキュリティ対策方針、拡張コンポーネント定義、セキュリティ要件、TOE要約仕様などが解説されています。

第Ⅲ部では、「セキュリティ機能と機能用件」
として、Common Criteria V3（ISO／IEC15408）のパート２：「情報セキュリティ評価基準」に基づくセキュリティ技術対策について、第1章は、セキュリティ機能と機能要件の概説が記載されていますが、以降の章では、各技術を章立てて解説しています。ここでは18の章から成ります。セキュリティ監査、利用者の識別から、送受信否認拒否、セキュリティ管理までが解説されています。各章において、とくに機能仕様の策定の際に考慮すべきポイントについて「機能仕様のポイント」として記述されています。

第Ⅳ部では「セキュリティ機能の開発と運用」
として、CEM（Common Evaluation Methodlogy）：情報セキュリティの評価方法に基づく、セキュリティ保証の評価について、7つの章から構成されています。ここでは、セキュリティ機能の開発と運用の概説に始まり、保証のアプローチ、開発、情報セキュリティに関する課題の解決ができることを検証するテスト、残存する脆弱性に問題がないことを検証する脆弱性認定、TOE（評価対象）をセキュアな状態で利用できることを検証するガイダンス、TOEライフサイクルにおいてセキュリティの維持を検証するライフサイクサポート等について章立てて解説しています。

なお以下の付録が添付されています。
付録Ａ：情報セキュリティ管理機能コンポーネント（ISO/IEC 27002:2005規格を参考に情報セキュリティの管理機能コンポーネントをチェックリスト的に利用可能としたもの）。付録Ｂ：セキュリティ脅威とセキュリティ対策方針事例（セキュリティ対策方針について抑止、予防、検出、回復の段階についてのマトリックス表としてまとめたもの）。付録Ｃ：情報処理製品／システムの脆弱性識別とその対策事例。付録Ｄ　セキュリティ対策と機能要件。付録Ｅ：セキュリティ評価基準で使用される用語

日科技連出版社

田渕治樹（著）

発売日：2007-06

発送時期：通常3～5週間以内に発送

ランキング：63448

なお本書の目次は、以下の内容です。
第Ⅰ部　情報セキュリティ機能の保証
第Ⅱ部　セキュリティ目標
第Ⅲ部　セキュリティ機能と機能用件
第Ⅳ部　セキュリティ機能の開発と運用
付録Ａ　情報セキュリティ管理機能コンポーネント
付録Ｂ　セキュリティ脅威とセキュリティ対策方針事例
付録Ｃ　情報処理製品／システムの脆弱性識別とその対策事例
付録Ｄ　セキュリティ対策と機能要件
付録Ｅ　セキュリティ評価基準で使用される用語

（広告）

タグ: 情報セキュリティ CCV3 ISO15408 ISO27002

Adobe Acrobat Professional 8

実務者のための情報セキュリティマネジメントシステム

JIPDEC（財団法人日本情報処理開発協会）によると2007年7月13日現在のISMS（情報セキュリティマネジメントシステム：ISO/IEC 27001:2005（JISQ27001:2006）規格：（Information technology －Security techniques－Information security management systems－Requirements：情報技術－セキュリティ技術－情報セキュリティマネジメントシステム－要求事項））に基づく認証登録件数は、2253とのこと。

さらにこのISMSの認証取得に取り組み組織は、増加しつつあるとのことのようです。

　日本情報セキュリティ認証機構のスタッフがISMSをこれから構築しようという組織、或いは、既に構築し運用している組織の実務者をターゲットにして、ISO/IEC 27001:2005（JISQ27001:2006）規格について、その要求事項、さらに構築のポイント、　認証審査のポイントを分かり易く解説している本を紹介します。

本書：「実務者のための情報セキュリティマネジメントシステム」です。

「JIS Q27001(ISO/IEC27001)規格徹底解説」との副題が付いています。

本書は、日本情報セキュリティ認証機構による編纂にて、2007年4月に産経新聞出版より発行されています。

本書の帯には、以下のように書かれてあります。

ISMSの全てが分かる実践的解説

ISMSによるITガバナナンス構築の手引き

「情報セキュリティの確保は、政府が推進するuーJapan

戦略、セキュアJAPAN構想において重要な柱ともなって

おり、安全安心なネットワーク社会の実現、セキュアで

安心感のある企業形成と持続性の確保のために経営者

が真剣に取り組むべきテーマである。」

本書は、本書の利用方法、はじめになどに続いて、１部から３部までの構成となっています。

また付録1：「ISMS規格について（ISO/IEC27001の概要、経緯、情報セキュリティの他のJIS規格、ISO/IEC27001及びその他のISMS規格などの動向など記載）」と付録2「COBITとISMSの関係、内部統制の土台としてのISMS（COBIT<Control Objectives for Information and related Technology>とISMSとの関係や比較、ISMSの内部統制への適用など記載）」が添付されています。

第１部では、「認証取得の前準備」
として、なぜISMSの認証を取得するかの目的を確認することからシステム構築に失敗しないためのキーポイントからスケジューリングなどのポイント、更には、ISMS審査を受ける際の要点が解説されています。

第２部では、「JIS Q27001規格のポイント」
として、JISQ27001:2006規格の序文から、8.3項の予防処置まで、とくに要求事項については、その要求事項、その解説、構築のポイント、認証審査のポイントといった要領で詳細に解説しています。

第３部では、「附属書A管理目的及び管理策」
として、JISQ27001:2006規格の附属書A管理目的及び管理策について、A5：セキュリティ基本方針、A.5.1：「セキュリティ基本方針」から、A15.3.2の情報システム監査ツールの保護までの管理目的及び管理策について、その解説、構築のポイント、認証審査のポイントといった要領で詳細に解説しています。

実務者のための情報セキュリティマネジメントシステム―JIS Q27001(ISO/IEC27001)規格徹底解説

産経新聞出版

日本情報セキュリティ認証機構（編さん）

発売日：2007-04

発送時期：通常2～3日以内に発送

ランキング：109426

amazon.co.jpで詳細をみる (Amazy)

なお本書の目次は、以下の内容です。
第１部　認証取得の前準備
ISMS認証取得の目的を確認する/システム構築に失敗しないポイント/ISMS審査を受ける際のポイント
第２部　JIS Q27001規格のポイント
適用範囲/引用規格/用語及び定義/ 情報セキュリティマネジメントシステムほか第３部　附属書A管理目的及び管理策
セキュリティ基本方針/情報セキュリティのための組織/資産の管理ほか
付録１　ISMS規格について
付録２　COBITとISMSの関係内部統制の土台としてのISMS

ISO/IEC27001

情報セキュリティマネジメントシステム

ISMS

（広告）

「ＩＳＯの本棚」ページのトップへ！

タグ: ISO27001 情報セキュリティマネジメントシステム ISMS JISQ27001

ビジネスマンのためのネットセキュリティハンドブック

ビジネスマンのためのネット・セキュリティ・ハンドブック

ＩＣＴ（情報通信技術）コンサルタントの著者が、パソコンとインターネットに関するリスクについて、平易な文章と分かりやすい図解を通じて必要最低限の基礎知識からその具体的な対策の提案までを網羅的に解説している本を紹介します。

本書：「ビジネスマンのためのネット・セキュリティ・ハンドブック」です。

「ビジネス必携！

知らなかったでは済まされない、

インターネット・パソコンのリスク」との副題が付いています。

本書は、著者：菅憲市氏により、2007年6月に総合法令出版より発行されています。

本書の帯には、以下のように書かれてあります。

「そのクリックが

会社を滅ぼす！

メールの1％が実は届いていない！？

”その対応”をするから迷惑メールが増えるのです。

消費者に謝る企業続出

従業員ブログの危険性とその防ぎ方とは？……。

この一冊で、全てがわかります！

また表紙カバーの折り返し部には、以下のように書かれてあります。

「WEB2.0時代だからこそ、

パソコン・インターネットとの

新しい付き合い方があるのです。」

本書は、序章ならびに第1章～第4章までの5つの章で構成されています。また取り上げている各項目ごとに見開きの２ページでその項目が完結する構成となっています。また右側のページでは、箇条書きなどによりその項目の解説が、また左側のページでは、その内容について図解によりその右ページの説明を補完するという構成になっています。

内容としては、以下の5つの分野毎に項目がまとめられてあります。
1.インターネット関連
2.メール関連
3.ウイルス関連
4.パソコン関連
5.コミュニケーション・人の関連

序章では、「Web2.0時代って何が変わったの？」
として、Web2.0時代のインターネットの世界の現況を誰もがネット社会に平等に参加できる世界になったからこそ起こる、ビジネス上のリスクも沢山あるとして概観しています。

第１章では、「何気なくパソコンを仕事に使っていませんか？」
として、パソコンを仕事に活用する上での無意識の行動とそこに潜んでいるトラブルのタネについて、メール使用からホームページ閲覧、ウイルスなどの身近な話題を取り上げ解説しています。

第２章では、「これだけは知っておきたい！　安全のための基礎知識」
として、インターネットやパソコンをビジネス利用する上での安全に関わる基本・基礎の知識について、例えば、インターネット、メールの送受信の仕組み、コンピュータウイルス、データの取扱、ブログなどの項目について解説しています。

第３章では、「ビジネス現場のための安全対策ノウハウ」
として、パソコンおよびインターネットに関わるセキュリティ対策の実際的なノウハウについて、迷惑メール対策、ソフトウェアの更新、企業の情報漏えい対策、インターネット使用の管理などビジネス現場での実務的なノウハウについて解説しています。

第４章では、「Ｗｅｂ２．０を仕事に活かすために」
として、Ｗｅｂ２．０の時代の流れを仕事に活かすために活用できるツールなどについて情報の共有に使えるツールやオープンソースを活用し、全社レベルで仕事管理などの項目について解説しています。

ビジネスパーソンが通勤電車の途中の断片的な時間を利用して読むのに便利なポケットサイズで内容的にも見開きの2ページで項目が完結しているので活用しやすく、内容的にも企業の情報セキュリティ教育等の目的にも活用出来るお奨めの一冊です。

総合法令出版

菅憲市（著）

発売日：2007-05

発送時期：通常24時間以内に発送

ランキング：77764

おすすめ度：

初心者のための教科書です
おすすめ度5

身につまされることばかりだった
おすすめ度5

２ページ完結で読み易いのに解決策もちゃんと書いてある
おすすめ度5

心にダウンロードしたいネット社会を愛する人のための一冊

なお本書の目次は、以下の内容です。
序章 Web2．0時代って何が変わったの？
インターネットの変化/「読む」から「使う」へ/より身近で便利になったからこそ
第1章何気なくパソコンを仕事に使ってませんか？
メールは便利だけど/迷惑メールにはどんな対応をしていますか？/なんで返信してこないのだろう/……/パソコンは機械だから安心！？ほか）
第2章これだけは知っておきたい！安全のための基礎知識
インターネットとは？/さまざまな機械が通信できる仕組み/……/ウイキとは？ほか）
第3章ビジネス現場のための安全対策ノウハウ
相手に届くメールを送る/ビジネスメールの作法/……/「攻め」の専門家活用法ほか）
第4章 Web2．0を仕事で活かすために
情報の検索に使えるツール情報の共有に使えるツール/……/Web2.0時代の社内交流ほか）

（広告）

タグ: ネットセキュリティ Web2.0 リスク

情報セキュリティ教本

情報セキュリティに関わる責任者、担当者に向けて、情報セキュリティの組織と体制づくりから展開し、セキュリティポリシーのつくり方、情報の管理、リスクマネジメント、技術的対策の基本、導入と運用のポイント、脆弱性検査、セキュリティ評価などの基本的な事項をわかりやすく解説しているまさに情報セキュリティ対策の「教科書」、「ハンドブック」として最適な本を紹介します。

本書：「情報セキュリティ教本」です。

「組織の情報セキュリティ対策実践の手引き」ならびに「Handbook for CISO and information Security Proffesionals」との副題が付いています。

本書は、独立行政法人　情報処理推進機構（IPA)　による著作ならびに土居範久先生の監修にて2007年4月に実教出版株式会社より発行されています。

本書は、2007-02-15のこちらのブログでも紹介した「情報セキュリティ読本」の姉妹本になります。

本書の帯には、以下のように書かれてあります。

「官・民の英知を集大成した

情報セキュリティガイドの決定版

企業、学校、行政機関、各種団体等の情報セキュリティ
対策の担当者、責任者の方を対象に、組織の情報セキュ
リティ対策を具体的に、分かりたすく解説しました。

情報セキュリティに関わる主要な基準・対策を網羅し
ました。

情報セキュリティ担当者、責任者のテキストとして、また
ハンドブックとして最適です。

また「情報セキュリティ教本の発刊によせて」のなかで、監修者は、情報セキュリティ対策と本書の考え方について以下のように述べています。

「誰もが感じていると思うが、どんな組織でも情報セキュリティ対策の実施は本当に難しい。なぜこれほど難しいのか。答は簡単だ。情報セキュリティ対策では、かなり複雑な問題を合理的に解く必要があるからだ。

（略）

しかし、情報セキュリティ対策が難しいといっても、もはや逃げ出すことはできない。基盤化した情報システムを何もせずに放置することは許されない状況にある。私たちは、組織として情報セキュリティ対策の実施能力を高める必要がある。それには一体何をしたらよいのだろうか。

一つ目は、事実に真正面から向き合う勇気を持つことだ。具体的には、情報システムを取り巻く状況を的確に理解することである。これは一般にリスクアセスメントの実施、情報資産の棚卸し、ユーザとシステムの把握などを通して行われる。

（略）

二つ目には、良いものを学び、良さを吟味する力を持つことだ。情報セキュリティ対策では、組織ごとに組織に合わせた形で設計、実装することが求められる。

（略）

三つ目が、創意工夫に溢れた対策を徹底して考えることだ。情報セキュリティ対策を実施していくと、対策自身を目的化してしまい、過度に規制するような対策を実施してしまうことがよく見られる。

（略）

組織として情報セキュリティ対策をどのように行えばよいかを、Ｐｌａｎ－Ｄｏ－Ｃｈｅｃｋ－ＡｃｔというＰＤＣＡサイクルに沿って、さまざまな事例を交えながら、具体的にわかりやすく解説する。」

本書の説明は、PDCAサイクルに沿って進んでいく構成となっています。本書で取り上げられている情報セキュリティの管理策は、基本的には、政府機関統一基準をベースとし、加えて、ISO/IEC27000シリーズ等の国際標準やその他のガイドライン、IPAのホームページ上に数多く掲載されている対策実践情報などをも参照した内容となっています。さらに法令順守の観点からどのようなセキュリティ対策を行なえば良いかという点にも触れています。

本書は、12章から構成されています。

1章では、「はじめに」
として、ＩＴ社会の中で種々の脅威が増大し、情報セキュリティの取組みが重要になっていること、情報セキュリティに関するガイドラインや基準を外観し、本書の使い方を提示し、緊急事態発生！として4つの情報漏洩等の事例（フィクション）が紹介され、情報セキュリティの基本的な考え方（3要素）から情報セキュリティマネジメントシステム（ISMS）とPDCAサイクルなどが解説されます。

2章では、「情報セキュリティの組織」
として情報セキュリティの組織と体制づくりについてそのポイントや経営者の役割、推進体制、違反と例外処置などが解説されています。

3章では、「情報セキュリティポリシーのつくり方」
として、情報セキュリティポリシーに関する文書類の基本方針（ポリシー）、対策基準（スタンダード）、実施手順（プロシージャー）、ガイドラインと実施手順などの解説に続き、情報セキュリティ基本方針、情報セキュリティ対策基準、情報セキュリティ実施手順についての詳細な策定要領を解説し、最後に情報セキュリティポリシー策定のポイントについて総括しています。

4章では、「情報の分類と管理」
として、情報資産の洗い出しと管理責任者の決定について情報資産の洗い出しの手順、情報資産のグループ分け、情報資産管理台帳、、情報の管理責任者などを解説し、情報資産の分類と格付け、情報のライフサイクルとその取扱い(情報の管理)について詳細に解説しています。最後に情報の分類と管理のポイントをまとめています。

5章では、「リスクマネジメント」
としてJISQ13335-1:2006による情報セキュリティにおけるリスクの定義、さらにJIS TR Q0008:2003のリスクマネジメント用語の解説、JISQ2001:2001のリスクマネジメントシステムの概念などが解説され、上記の規格に加え、GMITS（JIS TR X 0036）、、MICTS、ISO27000シリーズなどの関連規格に触れています。次いでリスクアセスメントに関して、情報資産価値の評価、脅威(threat)、脆弱性(vulnerability)、リスクの算定、リスク評価について解説し、GMITSに見るリスク分析手法、リスク対応（リスクの低減(適切な管理策の採用)、リスクの保有、リスクの回避、リスクの移転、リスクの受容、リスクコミュニケーション、リスクマネジメントの記録）、ISMSユーザーズガイドならびに政府機関統一基準ばらびにNISTガイドラインによるリスクマネジメントの例が解説されます。最後にリスクマネジメントのポイントをまとめています。

6章では、「技術的対策の基本」
として、「主体認証」、「アクセス制御」、「権限管理」、「証跡管理(ログの管理)」、「暗号と電子署名」、「パソコン上のデータ保護」、「セキュリティホール対策(脆弱性対策)」、「不正プログラム対策」、「サービス不能攻撃対策(DoS/DDoS攻撃対策)」について政府機関統一基準第4部に基づく管理策をベースとして解説されています。

7章では、「セキュリティ製品とセキュリティサービス」
として、情報セキュリティ対策を進める上で、代表的なセキュリティ製品やセキュリティサービスについて解説しています。
『ネットワークセキュリティ製品』では、
ファイアウォール、WAF(Webアプリケーションファイアウォール)、IDS(侵入検知システム)とIPS(侵入防止システム)、VPN(Virtual Private Network)、検疫システムについて、
『認証製品』では、
PKI関連製品、認証サーバ、ワンタイムパスワード、ICカード／スマートカード、バイオメトリック認証(Biometric Authentication)、シングルサインオン(Single Sign-On)について、
『データセキュリティ関連製品』では、情報漏えい防止ソリューション、メールセキュリティ、
『ウイルスなどの不正プログラム、スパム、フィッシングﾞ対策』では、
ウイルス対策ソフトウェア、スパイウェア対策ソフトウェア、スパムフィルタリングソフトウェア、フィッシング対策ソフトウェアについて
『その他』では、
UTM(Unified Threat Management:統合脅威管理)、コンテンツフィルタリングソフトウェア、完全性チェックツール、フォレンジックツールについて、
『セキュリティサービス』では、
コンサルティングサービス、セキュリティ教育など、セキュリティ監視、検知、運用管理サービス、電子認証サービス、タイムスタンプサービスについて解説されています。

8章では、「導入と運用」
として、情報セキュリティポリシーの周知と徹底、従業員の管理と外部委託先の管理、事業継続管理、緊急時対応、インシデント対応、情報システムの導入と運用など情報セキュリティシステムの導入と運用のポイントについて解説されています。

9章では、「セキュリティ監視と侵入検知」
として、情報システムに対する不正な行為や不正アクセスを促す、情報システムに存在するセキュリティ上の問題点を明らかにする手法として、セキュリティ監視、脆弱性検査、侵入検知の概要とそのポイントが解説されています。

10章では、「セキュリティ評価」
として、ISMSの適合性評価、情報セキュリティ監査、情報セキュリティ対策ベンチマーク、ＩＴセキュリティ評価及び認証などのセキュリティ評価についてその概要ならびに実施方法等について解説しています。

11章では、「見直しと改善」
として、定期的な見直し、環境の変化に伴う見直し、セキュリティ事件・事故の発生に伴う見直しについての手順の概要とそのポイントについて解説しています。

12章では、「法令遵守」
として、情報化関連法令集のサイトを紹介し、刑法、著作権法、不正アクセス禁止法、個人情報の保護に関する法律(個人情報保護法)、不正競争防止法、e-文書法などの概要について解説しています。

情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き

実教出版

情報処理推進機構（著）

発売日：2007-04

発送時期：通常24時間以内に発送

ランキング：27277

amazon.co.jpで詳細をみる (Amazy)

（広告）

タグ: 情報セキュリティ情報セキュリティマネジメントシステムリスクマネジメント IT

IT統制に活かすセキュリティリスクマネジメント入門―企業の内部統制構築の第一歩

IT統制に活かすセキュリティリスクマネジメント入門

5月7日の経済産業省の報道発表で5月4日のバンコク（タイ）での気候変動に関する政府間パネル（IPCC：Intergovernmental Panel on Climate Change）の第４次第３作業部会（（WGIII）は、温室効果ガスの排出抑制及び気候変動の緩和策をそれぞれ評価）の評価報告書の概要速報版が配布されています。

　すでに報道されているように2030年までの短中期的な個別部門の排出量の緩和策と2031年以降の長期的な緩和策とを展望し、開発の道筋をより持続可能な開発に向けるならば、気候変動の緩和にも大きく貢献する可能性があると結んでいます。

さて本日は、「金融証券取引法」（日本版SOX法）に関係して、組織で「内部統制」を実践する上で重要な要素となる「IT統制」、またIT統制の有効な整備で必須となる「ITセキュリティマネジメント」、さらにその一大要素である「セキュリティリスクマネジメント」について実践事例を交えて分かり易く解説している本を紹介します。

本書：「IT統制に活かすセキュリティリスクマネジメント入門」です。

「企業の内部統制構築の第一歩」との副題が付いています。

本書は、著者：関竜司氏、尾崎雅彦氏の協力にて、2007年4月に日科技連出版社より発行されています。

本書の表紙の折り返し部には、本書の特長として以下の4つのポイントが挙げられています。

本書の狙いは、企業が「IT統制」整備の取り組む際に、実効性を高め、投入するリソースを軽減できることにある。このため「マネジメントシステム」構築の考え方を取り入れ、「継続的改善」によって「IT統制」を整備できる手引書としての活用も意図。
本書は、「セキュリティリスクマネジメント」だけの入門書としての活用も可能。
既にISMS構築し実践している実績のある企業において、不適切なリスク分析・評価実施に起因する情報セキュリティ体制の不備や形骸化の問題が生じているとすれば、本書を参考に、既存の体制を見直し・改善することが可能。
適切な「セキュリティリスクマネジメント」の実現は、組織全体の正しいマネジメント及び業務の確保・維持につながっている。そして、このことは「IT統制」整備、ひいては「内部統制」整備のハードルを飛躍的に低くすることになる。

本書は、4つの章から構成されています。

第１章では、「セキュリティリスクマネジメント」と「IT統制」」
として「セキュリティリスクマネジメントとは」から始まり、情報セキュリティトラブルの実態、その対策の実態、その重要性などを解説し、「IT統制」に「セキュリティリスクマネジメント」を活用するメリットはどんな点にあるかなど解説しています。

第２章では、「IT統制の理論」として
IT統制の整備の基準となるフレームワークについて各種の内容を紹介し、その位置づけから関連について総括的に解説しています。例えば、IT統制と内部統制報告制度の仕組み、さらに「IT統制」と「内部統制」との関係、「IT統制」の位置づけ、IT統制のフレームワーク、COSO内部統制フレームワーク、ITのアウトソーシングについてPCAOBの「監査基準第2号」とアウトソーシングの考え方、SAS70、18号監査などの「IT統制」に関わる重要な概念など解説しています。

第３章では、「セキュリティリスクマネジメントの理論」
として、「リスクマネジメント」のJIS TR Q 0008:2003に基づく定義を「リスクに関して組織を指揮管理する調整された以下の「１）リスクアセスメント、２）リスク対応、３）リスク受容、４）リスクコミュニケーション」活動として解説し、本書における「セキュリティリスクマネジメント」は、「情報セキュリティリスクマネジメント」とし、リスクアセスメントの手法やリスクアプローチリスクアセスメントの手順などを詳細に解説しています。

第４章では、「「IT統制」整備における「セキュリティリスクマネジメント」の活用」
として、セキュリティリスクマネジメントを「IT統制」に有効に活用するための実践方法について解説しています。最初に「IT統制」のフレームワークとして「COBIT for SOX」を採用して最小限の「IT統制」を整備し、次いで「COBIT for SOX」以外の第2段階のフレームワークを整備するというステップによる「IT統制」の仕組みについて解説しています。ISMS構築のステップと「COBIT for SOX」のIT統制整備のステップを表により詳細に比較し、解説しています。「「IT統制」整備の実践例として、情報サービスＡ社の事例を取り上げ「COBIT for SOX」のSOX法対応ロードマップの手順について、STEP１の「「IT統制」整備の計画と対象範囲の決定」からSTEP６の「持続性の構築」までを解説しています。ここでIT全般統制の洗い出しチェックリスト等が掲載されています。

なお本書の付録に「「リスクカタログ」の例」が掲載されています。

日科技連出版社

関竜司（著）

発売日：2007-04

発送時期：通常3～5週間以内に発送

ランキング：79962