独立行政法人 情報処理推進協会(IPA)がコンピュータやネットワークを使用するユーザをターゲットにして、情報セキュリティについての基本をわかりやすく解説している定番の啓蒙書が前著から大幅に改訂され、情報セキュリティ読本の三訂版が発行されています。


ちなみに初版、改訂版は以下の内容です。(「ISOの本棚」で紹介)



本書の「はじめに、で筆者は、今日の情報セキュリティ確保の必要性について以下のように述べています。


「私たちの生活は、IT(情報技術)や情報通信の発展のおかげで飛躍的に便利になりました。

いまやITは、産業や政府活動、そして私たちの日、の暮らしを支える重要な社会基盤です。

しかし、一方で、IT基盤を脅かす脅威が存在することも事実です。

ITに依存すればするほど、ITに対する脅威はただちに、私たちの経済活動や社会生活そのものへの脅威に転化します。

高度情報化社会の恩恵を享受するために、情報セキュリティへの取り組みが強く求められる所以(ゆえん)です

  情報セキュリティは、国や政府の力だけで実現できるものではありません。

企業にしろ、個人にしろ、インターネットを利用するひとりひとりが、情報セキュリティの確保のために真剣な取り組みを行う必要があります

本書は、コンピュータやネットワークを使用するユーザの方を対象に、情報セキュリティについての基本をわかりやすく説明したものです

 また、企業の経営者や組織の運営に携わる方が、経営資産を防護する一環として、あるいは社会基盤の一部を担う立場として、情報セキュリティをどのように考慮するべきかについても触れています。」


<<ポイント>>


コンピュータやネットワークを使用するユーザをターゲットにして、情報セキュリティについての基本をわかりやすく解説している定番の啓蒙書の三訂版


今日のセキュリティリスク情報セキュリティの基礎にはじまり、


個人レベル、組織の一員としてのセキュリティ対策


セキュリティ技術情報セキュリティ関連の法規や制度・仕組み、


など情報セキュリティの関する基本的事項を分かり易く解説しています。


本書:「情報セキュリティ読本 三訂版」です。


IT時代の危機管理入門」との副題が付いています。


本書は、著者:情報処理推進機構にて、2009年8月に実教出版より発行されています。


情報セキュリティ読本―IT時代の危機管理入門
実教出版
発売日:2009-08
発送時期:通常6~9日以内に発送
ランキング:4475

<<本書のエッセンスの一部>>


本書は、7章から構成されています。


また本書には、資料として、「資料1 情報セキュリティ関連URL集」/「資料2 用語集」/「資料3 ウイルスのタイプ一覧」が添付されています。


また本文中には、多数の図解が挿入され、そこでは吹き出しにて重要事項が解説されるなど親しみやすい構成になっています。


また本文中で用語集で解説しているキーワードは青色で参照できるように構成されています。


章の終わり等に「コラム」欄が設けられ、「ハッカーとクラッカー」といったトピックスが取り上げられ解説されています。


章を追って簡単な概要を紹介します。


第1章では、「今日のセキュリティリスク
と題して、IT活用やインターネットを用いる上で見落とすことができないリスクとその動向について解説しています。


ここでは、情報セキュリティの被害について、はじめに以下の5つの実例を挙げて説明しています。


  • 実例1: 狙われるWebサイト
  • 実例2: 巧妙化するフィッシング詐欺
  • 実例3: 増加する金融取引被害
  • 実例4: P2Pファイル交換ソフトを介した情報漏えい
  • 実例5: 犯罪に使われるインターネット

また「危険の認識と対策」として、「インターネット」、「メール」、「日常業務」に潜む危険について解説し、危険への対処法として本書で解説する情報セキュリティへの取り組みが必要と説いています。


第2章では、「情報セキュリティの基礎
と題して、情報セキュリティに関する基礎概念について解説しています。


情報セキュリティの「機密性」、「完全性」、「可用性」の意味にはじまり、「情報資産」、「リスクとインシデント」、「リスクの要因」などの基本的事項を解説しています。


また「マルウェア」、「外部からの侵入(不正アクセス)」(攻撃用ツール、不正行為の種類)、「サーバーへの攻撃(サービス妨害」(DDoS攻撃、メール攻撃)等の『外部のリスク要因』、また「情報システムの脆弱性、「組織に内在する脆弱性」など『内部のリスク要因』について解説しています。


さらに情報セキュリティの基本的事項となる『情報リテラシーと情報倫理』について解説しています。


第3章では、「見えない脅威とその対策 −個人レベルのセキュリティ対策−
と題して、ウイルス、スパイウェアやボットと呼ばれる不正プログラム、フィッシング詐欺、ワンクリック不正請求などの見えない脅威について、その特性と個人レベルで行うべき対策について解説しています。


見えない化が進むマルウェアの脅威を取り上げ、「マルウェアとは?」にはじまり、また感染したときの被害や症状(情報漏洩、悪意のあるサイトへの誘導やマルウェアのダウンロード、DDoS攻撃、ウイルスメールの大量送信や差出人アドレスの詐称、ウイルス対策ソフトの停止やWebサイトへのアクセス妨害等)の症状について詳細に解説し、マルウェア感染の原因となる以下の操作に注意を喚起しています。


  • USBメモリの接続
  • ファイルのオープン
  • メールの開封・プレビュー
  • ネットワークへの接続
  • Webページへの閲覧

また個人レベルで行うセキュリティ対策として、以下の項目を取り上げ解説しています。


  • 脆弱性の解消
  • ウイルス対策ソフトウェアのインストールと更新
  • パーソナルファイアウォールの活用
  • Webブラウザのセキュリティ設定
  • ネットサーフィンの危険性とその対策
  • メールソフトのセキュリティ設定
  • 不審な添付ファイル、迷惑メールの取り扱いに対する注意

さらにこの章では、「標的型攻撃と誘導型攻撃への対策」/「フィッシング詐欺への対策」/「ワンクリック不正請求への対策」/「無線LANに潜む脅威とその対策」といった事項を取り上げ解説しています。


第4章では、「組織の一員としての情報セキュリティ対策
と題して、組織のセキュリティ対策とその中のメンバーが順守すべきセキュリティ対策について解説しています。


とくに情報セキュリティマネジメントシステム(ISMS)の概念に沿って、PDCAのサイクルに基づく組織のセキュリティ対策(「計画(Plan)−体制の整備とポリシーの策定 」→「実行(Do)−導入と運用」→「点検(Check)−監視と評価」→「処置(Act)-見直しと改善」について解説しています。


また従業員としての心得として以下の点を説いています。


  • 規則を知り、遵守する
  • 情報セキュリティ上の脅威と対策を知る
  • 「自分だけは…」、「これぐらいなら…」は通用しない
  • 必ず上司に報告・相談する
  • 特に、情報漏えいに気を付ける

さらに「気を付けたい情報漏えい」についても情報漏えいの経路と原因から企業や組織の一員としての情報セキュリティ心得までを説いています。


第5章では、「もっと知りたいセキュリティ技術
と題して、パスワード、攻撃方法、ファイアウォール、暗号化とデジタル署名を取り上げ、情報セキュリティ技術の基本について解説しています。


ここでは、「アカウント、ID、パスワード」、「攻撃手法」(事前調査、権限取得、不正実行、後処理)、「脆弱性を悪用する攻撃」(ポートと脆弱性、脆弱性を悪用する攻撃<
バッファオーバーフロー攻撃、クロスサイトスクリプティング攻撃、SQLインジェクション攻撃、 DNSキャッシュポイズニング攻撃)、「ファイアウォール」(ファイアウォールとは? 、パケットフィルタリング、アプリケーションゲートウェイ、プライベートアドレス 、ネットワークアドレス変換技術(NAT)、DMZ(DeMilitarized Zone:非武装地帯)、ファイアーウォールの落とし穴、パーソナルファイアーウォール)、「暗号とディジタル署名}(暗号技術とは?、ディジタル署名とは?、認証局とは?、身近に使われている暗号技術)といった情報セキュリティ技術の基本を解説しています。


第6章では、「情報セキュリティ関連の法規と制度
と題して、主要な国際標準や関連国内法、情報セキュリティに関する制度について解説しています。


情報セキュリティの国際標準については、ISO/IEC27000シリーズ、ISO/IEC15408、OECD情報セキュリティガイドラインについての概要を解説しています。


そして情報セキュリティに関する法律については、刑法、不正アクセス行為の禁止等に関する法律(不正アクセス禁止法)、電子署名及び認証業務に関する法律(電子署名法)、個人情報の保護に関する法律(個人情報保護法)の概要を解説しています。


また知的財産を守る法律について、著作権法、不正競争防止法について解説しています。
そして、迷惑メール関連法について解説しています。


また情報セキュリティ関連制度として、ISMS適合性評価制度、ITセキュリティ評価及び認証制度、暗号モジュール試験及び認証制度、プライバシーマーク制度、情報セキュリティの監査制度、コンピュータウイルス及び不正アクセスに関する届出制度、脆弱性関連情報に関する届出制度について解説しています。


第7章では、「IPAセキュリティセンターの活動
と題して、IPAセキュリティセンターの活動(情報セキュリティに関する普及啓発活動/ウイルス・不正アクセス対策/情報システムの脆弱性への取り組み/ITセキュリティ評価・認証/暗号技術調査・評価/暗号モジュールの試験および認証制度/IPAセキュリティセンターのWebページ)について紹介しています。


<<本書で何が学べるか?>>


本書では、コンピュータやネットワークを使用するユーザを対象に、情報セキュリティについての基本をわかりやすく解説しています


本書は、情報セキュリティに関する最新の情報も反映した啓蒙書として、情報セキュリティ教育を行う際や、経営層の方に情報セキュリティの全体像を把握していただく等の目的に好適な一冊です。


<<まとめ>>


本書は、企業等で情報セキュリティ教育に活用して頂くのに最適です。


なお本書の目次は、以下の内容です。
第1章 今日のセキュリティリスク
1 今日のセキュリティリスク
2 危険の認識と対策
第2章 情報セキュリティの基礎
1 情報セキュリティとは
2 外部のリスク要因
3 内部のリスク要因
4 情報リテラシーと情報倫理
第3章 見えない脅威とその対策 −個人レベルのセキュリティ対策−
1 マルウェア −見えない化が進む
2 共通の対策
3 標的型攻撃と誘導型攻撃への対策
4 フィッシング詐欺への対策
5 ワンクリック不正請求への対策
6 無線LANに潜む脅威とその対策
第4章 組織の一員としての情報セキュリティ対策
1 組織のセキュリティ対策
2 従業員としての心得
3 気を付けたい情報漏えい
4 終わりのないプロセス
第5章 もっと知りたいセキュリティ技術
1 アカウント,ID,パスワード
2 攻撃手法
3 脆弱性を悪用する攻撃
4 ファイアウォール
5 暗号とディジタル署名
第6章 情報セキュリティ関連の法規と制度
1 情報セキュリティの国際標準
2 情報セキュリティに関する法律
3 知的財産を守る法律
4 迷惑メール関連法
5 情報セキュリティ関連制度
第7章 IPAセキュリティセンターの活動
資料1 情報セキュリティ関連URL集
資料2 用語集
資料3 ウイルスのタイプ一覧





にほんブログ村 本ブログへ



(広告)


ウイルス対策サービス Powered by トレンドマイクロ



「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

IPA(独立行政法人 情報処理推進機構)では、2008年にIPAに届けられた情報や一般に公開された情報を基に、「10大脅威 攻撃手法の『多様化』が進む」を編纂し、2009年3月24日からIPAのウェブサイトにて公開しています。(内容は、pdfファイルで閲覧できます。)


以下の脅威の内容が取り上げられています。(総合順位順に記載)


  • DNS キャッシュポイズニングの脅威【組織】
  • 正規のウェブサイトを経由した攻撃の猛威【システム管理者・開発者への脅威】
  • 巧妙化する標的型攻撃【組織】
  • 多様化するウイルスやボットの感染経路【利用者への脅威】
  • 恒常化する情報漏えい【組織】
  • 脆弱な無線LAN 暗号方式における脅威
  • 誘導型攻撃の顕在化【システム管理者・開発者への脅威】
  • 減らないスパムメール【利用者への脅威】
  • 組込み製品に潜む脆弱性【システム管理者・開発者への脅威】
  • ユーザ ID とパスワードの使いまわしによる危険性【利用者への脅威】

上記内容の紹介と解説も含めてIPAが2008年に関連機関・組織が公表した多くの情報を参照し、利用者側・供給者側双方の視点から動向等を分析するなど情報セキュリティ全般の動向と展望を解説している2009年版の情報セキュリティ白書を紹介します。


この「『情報セキュリティ白書2009』の刊行にあたって」において、IPAの西垣 理事長は、一般的に情報セキュリティについてもたれがちな印象として「情報セキュリティは、企業に利潤をもたらさない」、「情報セキュリティ対策の対象の多様化」、「クラウド・コンピューティングの進展といった環境変化」、「情報セキュリティ上の脅威がますます把握しにくくなっていること」などをあげ、『情報セキュリティは企業経営者や一般ユーザには重要性が分かり難く、実務者に取っても扱いにくい対象になっているという宿命を持つ』とした上で、情報セキュリティ対策への企業投資も経済不況の影響で劣後になる懸念が情報セキュリティ対策上の社会的脅威になりうるとし、以下のように述べています。


「誰がどのような役割を持ってどこまで未然防止対策を行い、残るリスクを受け止めて、復旧や事業継続をしていくのか、そのバランスをどこにおくことが適切なのか、そのことが問い直されています。

その上で、IT活用の効率情報セキュリティの両立が求められています

情報セキュリティ産業も、新たなニーズをくみ取り適応していくことが求められるでしょう。さまざまな意味で、我々は岐路に立っていると言えます。」



<<ポイント>>


情報セキュリティのバイブル』ともいえる情報セキュリティ白書2009


本書では、 最初に10のトピックを紹介することを通して、2008年の情報セキュリティの概況をわかりやすく簡潔にレビューしてから後の章で詳論しています。


そして、


  • 情報セキュリティ被害
  • 対策実施の状況
  • 法的・制度的基盤
  • 人的な基盤
  • 情報セキュリティ産業の動向と日米の比較

また情報セキュリティに関する基本的なキーワードの解説も盛り込まれています。


さらに情報セキュリティの分野において注目すべき個別のテーマについて現状を解説し今後を展望しています。


本書:「情報セキュリティ白書2009」です。


岐路に立つ情報セキュリティ対策:求められるIT活用との両立」との副題がついています。


本書は、著者:独立行政法人 情報処理推進機構 にて、2009年5月に毎日コミュニケーションズより発行されています。


情報セキュリティ白書2009 ~岐路に立つ情報セキュリティ対策:求められるIT活用との両立~
毎日コミュニケーションズ
発売日:2009-05-26
発送時期:在庫あり。
ランキング:3811
おすすめ度:5.0
おすすめ度5 よい本です

<<本書のエッセンスの一部>>


本書は、第1部:「情報セキュリティの概況と分析」(「序章」及び第1章~第4章を含む)および第2部:「10大脅威 攻撃手法の『多様化』が進む」との2部に区分けされ、構成されています。


また本書には、付録として情報セキュリティの関連情報を整理した『資料・ツール』がまとめられています。


カラフルな各種グラフやイラストなどを含む図表が多く挿入されています。


また章ごとに表題等の色使いも使い分けられ検索の便宜も配慮された構成になっています。


第1部:「情報セキュリティの概況と分析」について、序章から章を追って簡単に概要を紹介します。


序章では、「2008年度の情報セキュリティの概況(トピックス10)
と題して、2008年度の情報セキュリティの10のトピックスを中心に概況を総括的に解説しています。


2008年度は、(匿名)のファイル共有ソフトを通した漏洩が、2007年度の「紛失・盗難」に入れ替わってトップとなったという「情報漏洩の状況」をはじめとして、


ほかに、我が国の「第2次情報セキュリティ基本計画」、ドメインネームサーバの脆弱性、2013年に向けての新暗号研究の着手、…、中国強制認証制度(CCC)の問題など本書で詳細に取り上げるトピックスが概観されています。


1章では、「情報セキュリティ対策の実態
と題して、「1節 利用者側の動向と展望」と「2節 供給者側の動向と展望」とに区分して情報セキュリティ対策の動向と展望を概説しています。


利用者側』については、世界の脅威(ウイルスについての「ソーシャルエンジニアリング」と呼ばれる手口が用いられる傾向など)、我が国の脅威(PDFファイルやWORDファイルへのウイルスが仕掛けられた等のウイルス、ボットの状況)、不正アクセスの脅威の動向と対策(SSHで使用するポートへのパスワードクラッキング攻撃による侵入例などの被害状況から対策の実際など)、以降小項目のタイトルのみ紹介すると、ワンクリック不正請求などの脅威の動向と対策の実態、情報漏洩の実態、攻撃や情報漏洩の背後にある地下経済、特定の組織・人を狙った攻撃の動向、企業の情報セキュリティの現状と課題、重要インフラの情報セキュリティ対策状況、政府など公共領域における情報セキュリティインシデント状況及び対策状況、”ユニバーサル”な情報セキュリティといった観点から概観しています。


また『供給者側』については、ソフトウェア製品の脆弱性動向(米国のNVD,日本のJVN iPediaなどの脆弱性データベースに基づく分析等)、2008年に公表された注目すべき脆弱性(DNSキャッシュポイズニングの脆弱性。クリックジャッキングの脆弱性、携帯電話の脆弱性、無線LANプロトコル(WEP)における脆弱性など)、さらにIT関連製品の評価認証制度(ISO/IEC 15408(Common Criteria)による認証評価制度、中国の強制認証制度(CCC)、暗号モジュール試験及び認証制度(JCMVP)の活用状況、米国での連邦情報セキュリティマネジメント法(FISMA)に関わるFDCC(Federal Desktop Core Configuration)、SCAP(Security Content Automation Protocol)の動きなど)、情報セキュリティサービスの動向と展望、PCI DSS(Payment Card Industry Data Security Standard)、Saas(Software as a Service サービスとしてのソフトウェア)のセキュリティ、ISMS適合性認証制度、情報セキュリティマネジメントとコーポレートマネジメントといった内容を取り上げ概観・展望しています。


2章では、「情報セキュリティを支える基盤(法制度、人材、技術・標準の動向)
と題して、「1節 法的・制度的な基盤」/「2節 情報セキュリティ対策における人材の重要性」/「3節 ネットワーク基盤」/「4節 国際標準化活動・基準適合性認証の動き」についてその動向と展望をまとめています。


1節 法的・制度的な基盤」では、「第2次情報セキュリティ基本計画、セキュア・ジャパン2009の状況」、日本版SOx法、個人情報保護法などのコンプライアンス、米国のセキュリティ侵害通知法、企業情報の不正取得に関する規制動向、サイバー犯罪に対する条約(欧州協議会)、青少年ネット規制法案、迷惑メール対策の法令、組込みセキュリティ、…、違法コンテンツ取締り(韓国)までの13アイテムを取り上げ解説しています。


2節 情報セキュリティ対策における人材の重要性」では、「求められる情報セキュリティ人材、情報セキュリティ人材のスキル、セキュリティスキルと試験・資格制度、その他のセキュリティ人材育成の活動といった各項目を取り上げ解説しています。


3節 ネットワーク基盤」では、2010年法制化が目標とされている情報通信法(仮称)の概要等を含めネットワーク基盤の動向を概観しています。


4節 国際標準化活動・基準適合性認証の動き」では、国際標準化活動について、組織、ISO/IEC JTC1 SC27での標準化動向、ISO/TC68 SC2での標準化動向、暗号の世代交代に関わるNIST(米国標準技術研究所)とCRYPTREC(暗号技術検討会)の動向、情報セキュリティとITガバナンスに関わる動向を解説しています。


3章では、「情報セキュリティ産業の動向
と題して、 「1節 ITと情報セキュリティ産業」、「2節 日本の情報セキュリティ産業の構造」、「3節 IT 及び情報セキュリティ産業の日米比較」に区分けして動向を解説しています。


1節 ITと情報セキュリティ産業」では、IT産業、情報セキュリティ産業の市場規模の動向、IT産業における情報セキュリティ産業の位置づけ(比較)(情報セキュリティ市場は、IT市場の9.2%など)をまとめています。


2節 日本の情報セキュリティ産業の構造」では、日本の情報セキュリティ産業の構造、事業者のマッピングによる区分け、製品・サービスの流通構造を整理し、概観しています。


3節 IT 及び情報セキュリティ産業の日米比較」では、IT産業の日米比較について、ユーザ企業、SI事業者、人材、ベンチャー風土などから考察し、その特質を対比しています。


4章では、「個別テーマ
と題して、「1節 中小企業の情報セキュリティ対策」、「2節 「情報セキュリティエコノミクス」分野の形成」、「3節 社会や生活の基盤としての組込みシステムセキュリティの現状と課題(「自動車、情報家電、制御システムのセキュリティ~)」、「4節 生体認証システムの導入、運用事例の紹介」、「5節 米国での脆弱性対応の現状」、「 6節 セキュリティ認証制度の動向と課題」、「7節 アイデンティティ管理の基礎 -本人確認法関連の動向と課題-」といった項目を取り上げ詳解しています。


1節 中小企業の情報セキュリティ対策」では、中小企業の情報セキュリティ対策ガイドラインの紹介、「5分でできる情報セキュリティ自社診断シート」の解説、中小企業における組織的な情報セキュリティ対策ガイドラン、委託関係における中小企業の情報セキュリティ対策ガイドラインを関連書式を含め解説しています。


2節 「情報セキュリティエコノミクス」分野の形成」では、最近登場してきた「情報セキュリティエコノミクス」分野について、その背景、関連するセキュリティ事例、これからの動向を解説しています。


3節 社会や生活の基盤としての組込みシステムセキュリティの現状と課題(「自動車、情報家電、制御システムのセキュリティ~)」では、生活基盤でしようされる自動車、情報家電、社会基盤の重要インフラで利用される制御システムのセキュリティについての現状と課題についてまとめ解説しています。


4節 生体認証システムの導入、運用事例の紹介」では、『生体認証システム』についての導入・運用の6つの事例を中心に、導入の経緯、概要、ユーザへの配慮点、システム管理の配慮点、運用状況、システム導入の効果といった点を紹介しています。


5節 米国での脆弱性対応の現状」では、米国政府の脆弱性に関する取り組み状況をNISTが、セキュリティ対策の自動化を標準化したSCAPの概要を中心に紹介しています。


6節 セキュリティ認証制度の動向と課題」では、JISEC(Japan Information Technology Securiy Evaluation and Certification Scheme)によるISO/IEC 15408 CCに基づくITセキュリティ評価及び認証制度の意義、概要、評価基準CC等の動向、認証実績、課題等を展望しています。またISO/IEC 19790などの暗号モジュールの標準化動向など暗号モジュール試験及び認証制度(JVMVP)の動向、さらにチップセキュリティ評価体制の動向などを解説しています。


7節 アイデンティティ管理の基礎 -本人確認法関連の動向と課題-」では、2008年3月1日に施行された「犯罪による収益の移転防止に関する法律」、「戸籍法」、「住民基本台帳法」、「携帯電話不正利用防止法」などの改正された本人確認に対する法律の趣旨を解説し、ニュージランドの本人確認の手続きの基準を紹介し、統一的な本人確認のための基準の策定の検討に着手することを提言しています。


また第2部では、「10大脅威
と題して、冒頭に紹介した10大脅威について<問題の概要>、<問題の経緯>、{被害状況・対策状況>、<対策方法>といった順で解説しています。またその脅威に関連する資料は、その情報が入手できるウェブサイトとともに『関連資料』として枠囲みで掲載されています。


この内容は、IPAのウェブサイトにおいて公開されているものと同じ内容になります。


<<本書で何が学べるか?>>


本書では、最初に2008年度の情報セキュリティの主な出来事をトピックス10として情報セキュリティ全般を総括するとともに分かりやすく解説しています


さらに、情報セキュリティを支える基盤、情報セキュリティ産業の動向、情報セキュリティに関わる個別の重要テーマについて現状と課題を考察するとともに、多様化した脅威に対する未然防止の考え方などを分かり易く解説しています


本書は、情報セキュリティに関する主要キーワードの解説も盛り込まれており、企業の経営者や経営企画、情報システム担当者、一般ユーザの等幅広い階層の人に読んで頂きたい一冊です


<<まとめ>>


本書は、情報セキュリティの関係者には是非とも読んで頂きたい一冊です


なお本書の主要目次は、以下の内容です。
第1部 情報セキュリティの概況と分析
序章 2008年度の情報セキュリティの概況(トピックス10)
1章 情報セキュリティ対策の実態
2章 情報セキュリティを支える基盤(法制度、人材、技術・標準の動向)
3章 情報セキュリティ産業の動向
4章 個別テーマ
第2部 10大脅威
付録 資料・ツール
A 2008年のコンピュータウイルス届出状況
B 2008年のコンピュータ不正アクセス届出状況
C ソフトウェア等の脆弱性関連情報に関する届出状況
D 2008年度情報セキュリティに関する脅威に対する意識調査
E 組織の情報セキュリティ対策自己診断テスト 「情報セキュリティ対策ベンチマーク」セキュリティ要件検討支援ツール(ARAS:Security Requirment Aid System)
(略)
LSI回路解析ツール
第4回IPA情報セキュリティ標語・ポスター 入選作品





にほんブログ村 本ブログへ



(広告)


〈ブラビア〉『KDL-40F5』


Sony Style(ソニースタイル) 送料無料


「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

組織の情報セキュリティに関係して、リスク管理、情報セキュリティ装置やシステムの情報セキュリティ機能、およびこれらの情報技術セキュリティ評価情報セキュリティマネジメントシステムについて解説している本を紹介します。


本書は、もともと2003年に出版された「ユビキタス時代の情報セキュリティ技術」の改定版になります。


改訂版は、基礎編と実践編との2分冊からなる構成とのことで、すでに改訂版の基礎編である「情報セキュリティ概論」は、2007年に出版されています。


本書では、実践編として、情報セキュリティの機能とはなにか、実装の評価 、運用の保証をいかに行うかといった点に焦点をあてた内容となっています。


また情報セキュリティの本質を深く学ぶ教科書といった観点から上記の内容に加えて、実例に近い学習方法が採用され、大学院学生、企業技術者をターゲットに演習による学習にも重点をおいた構成となっています。


<<ポイント>>


ISO/IEC 27001およびISO/IEC 15408などをベースに情報セキュリティマネジメントシステムおよび情報技術セキュリティ評価について学ぶテキスト


本書では、


情報セキュリティポリシーの策定にはじまり、


組織のリスク管理の考え方、


情報セキュリティマネジメントシステムを確立、導入、運用、監視、レビュー、維持改善するための要求事項を規定するISO/IEC 27001:2005(「JIS Q 27001:2006」:情報技術-セキュリティ技術-情報セキュリティ技術-情報セキュリティマネジメントシステム-要求事項)、


および情報技術セキュリティの面において、情報技術に関連した製品やシステムが適切に設計され、その設計が正しく実装されているかどうかを評価するための情報技術セキュリティ評価の国際標準であるISO/IEC 15408


等について学ぶといった内容になっています。


本書:「情報セキュリティの実装保証とマネジメント」です。


本書は、瀬戸 洋一 氏、 織茂 昌之 氏、廣田 倫子 氏ならびに 高取 敏夫 氏による共著にて、2009年4月に 日本工業出版 より発行されています。


情報セキュリティの実装保証とマネジメント
日本工業出版
発売日:2009-04
発送時期:在庫あり。
ランキング:268826
おすすめ度:5.0
おすすめ度5 他にはない充実度です

<<本書のエッセンスの一部>>


本書の帯には、以下のように書かれています。


大学院および企業技術者に最適な教科書

情報セキュリティの実装保証とマネジメント

本書は、実践的な情報セキュリティを学ぶために最適な書籍です。

セキュリティ確保のスタートラインである情報セキュリティポリシーを学んだ上で、

セキュリティ機能を適正に実装したソフトウェアあるいはシステムを構築するための手法であるISO/IEC 15408、およびITシステムの安全性を確保するため運用レベルでのセキュリティ確保の手法であるISO/IEC 27001について演習を中心に効率よく学ぶことができます。

すぐに使える技術を培うことに重点をおいた構成となっています。

大学院および企業研修に最適な良書です。


本書は、6章から構成されています。


各章の終わりには、その章の理解のためのケースタディを含む実務的な演習問題が掲載されています。この演習の回答は、本書には、掲載されていませんが、演習問題の模範解答は、執筆者の一人に連絡すれば、実費にて配布されるとのことです。


また演習問題と共に多数の充実した参考文献が紹介されていて更なる深い勉強の参考になります。


本文は、明快に整理され分かり易い内容になっており、本文中には、フロー図、概念図などの図表が多数挿入されていて内容の理解を補助する構成となっています。


章を追って概略の内容をざっと紹介します。


1章では、「情報セキュリティポリシーの策定
と題して、情報セキュリティポリシーの基本的な概念と具体的な策定方法について、「各省庁向けの情報セキュリティリシーに関するガイドライン」、「国立大学法人等における情報セキュリティポリシーの策定」などのガイドラインを交えて解説しています。


情報セキュリティポリシーとはといった情報セキュリティポリシーの制定の意義・必要性から、情報セキュリティポリシーの構成について、さらに「組織体制の確立」から「リスク分析」等を経て「ポリシーの決定」に至る情報セキュリティポリシーの策定手順、さらには、情報セキュリティポリシーの運用等について解説しています。


2章では、「リスクマネジメント
と題して、特にITシステムの構築あるいは、ITシステムに関係した組織に対して、ISO/IEC 15408 およびISO/IEC 27001を実施する上で必要なリスクマネジメントについてリスクマネジメントの必要性、リスクの定義に始まるリスクマネジメントの概要、リスクアセスメント・マネジメントリスク評価リスクの対応リスクの受容リスクコミュニケーションといったリスクマネジメントに関わる主要な概念を取り上げ、意義、目的、進め方の手順等について詳細に解説しています。


3章では、「情報セキュリティマネジメントシステム
と題して、ISO/IEC 27001(「JISQ 27001)に基づく情報セキュリティマネジメントシステムについて解説しています


BS 7799に始まる情報セキュリティマネジメントシステム(以降ISMSと略)規格の歴史と標準化、ISO/IEC 27001(「JISQ 27001)規格の構成とその概要、プロセスアプローチとPDCAサイクルの考え方といった事柄を解説した上で、ISO/IEC 27001に基づくISMSの構築のステップと運用管理についてPDCAのサイクルに沿って解説しています。


またISMSの文書化、文書管理、記録の管理について、さらに経営陣の責任とマネジメントレビュー、ISO/IEC 27001の付属書A:ISO/IEC 27002の箇条5から箇条15に対応した管理目的及び管理策の概要、さらにISMSの有効性測定といった項目を解説しています。


4章では、「情報技術セキュリティ評価
と題して、ISO/IEC 15408の内容に基づいて、セキュリティ設計・実装において必要となる考え方、要件について解説しています


とくにISO/IEC 15408とイコールの関係にあり、ISO/IEC 15408のもととなっているセキュリティ評価の基準のCCCommon Criteria)の最新版であるCC V3.1の内容をベースに解説しています。


情報システムセキュリティ対策への要件とCC認証、CC策定の歴史と国内制度、CCの概要、情報システムのセキュリティ基本設計、情報システムのセキュリティ実装における要件といった内容を詳解しています


5章では、「事業継続とガバナンス
と題して、ISO/IEC 27001の管理すべき項目の一つとして組み込まれている事業継続管理BCM)(付属書 A.14 事業継続管理:ISO/IEC 27002の14:事業継続管理)とガバナンスについて解説しています。


「情報システムの重大な故障又は災害の影響からの事業活動の中断に対処するとともに,それらから重要な業務プロセスを保護し,また,事業活動及び重要な業務プロセスの時機を失しない再開を確実にするため」(14.1)


といった情報セキュリティ側面における事業継続管理の管理目的などを紹介し、事業継続管理と情報セキュリティについて、ISO/IEC 27002の14:事業継続管理の管理策と実施の手引きの「14.1.5 事業継続計画の試験,維持及び再評価」までの概要を解説しています。


さらに事業継続関連のBCP/BCM(事業継続計画/事業継続管理)に関わる国内外の動向、BS 25999-1:2006規格の「事業継続管理 第1部 実践規範(Business Continuity Management-Part1:Code of practice)を参照しBCMライフサイクル、事業継続マネジメントシステム(BCMS)プロセスの概要、事業継続とガバナンスとの関連等を取り上げ解説しています。


6章では、「情報セキュリティ監査
と題して、経済産業省が2003年3月に公開した「情報セキュリティ監査研究会報告書」で述べられている情報セキュリティ監査の概要について、監査の形態、情報セキュリティ監査の標準的な基準、情報セキュリティ監査基準、監査技法、 情報セキュリティ監査制度のポイントを解説しています。


 <<本書で何が学べるか?>>


本書では、セキュリティ確保のスタートラインである情報セキュリティポリシーを学んだ上で、組織のリスク管理の考え方、ISMSを確立、導入、運用、監視、レビュー、維持改善するための要求事項を規定しているISO/IEC 27001:2005(「JIS Q 27001:2006」)の概要について、そして、情報技術セキュリティの面において、情報技術に関連した製品やシステムが適切に設計され、その設計が正しく実装されているかどうかを評価するための情報技術セキュリティ評価の国際標準であるISO/IEC 15408(=の関係にあるCC)、更には、事業継続管理ガバナンス情報セキュリティ監査といった内容を実務的な演習問題と共に学ぶことができます


コンパクトなA5版の本文178頁のなかにぎっしりとISMS情報技術セキュリティ評価の実装保証の国際標準の内容が教科書としてぎっしりと詰まった充実した内容となっています。


<<まとめ>>


本書は、情報セキュリティについての本質を深く学びたいニーズを持っている方には、お薦めの一冊です。


なお本書の主要目次は、以下の内容です。
1章 情報セキュリティポリシーの策定
2章 リスクマネジメント
3章 情報セキュリティマネジメントシステム
4章 情報技術セキュリティ評価
5章 事業継続とガバナンス
6章 情報セキュリティ監査






にほんブログ村 本ブログへ



(広告)


Adobe Creative Suite 4 Production Premium



「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

IPA(Information Technology Promotion Agency:独立行政法人 情報処理推進機構)のISEC(IT SEcurity Center:セキュリティセンター)のスタッフの執筆により2007年7月に発行されていた情報セキュリティ責任者・担当者のための教科書情報セキュリティ教本」が2009年3月に改訂発行されています。


情報システムは、今日、どんな組織においても業務遂行を進める上で必要不可欠な基本的インフラとなっています。


そこでその情報システムが確実に安定した状態でその機能を提供できるために情報セキュリティ管理の位置づけが極めて重要なものになっています。


本書では、企業・学校・政府機関・団体等の情報セキュリティの担当者、責任者、部門長、経営者といった読者を対象にして、組織において、情報セキュリティ管理をどのように行えばよいかといった点について、さまざまな事例を交え解説しています


とくに、情報セキュリティの担当者、責任者として知っておくべき基本的事項が体系的に網羅的に取り上げられ教科書的な分かり易い構成にて解説されています。


「「情報セキュリティ教本 改訂版」の発刊に寄せて」と題して、本書の冒頭で山口 英 教授(内閣官房情報セキュリティ補佐官 奈良先端科学技術大学院大学 情報科学研究科 教授)が一般に人は、楽観的で、単純反復作業に向かず、元来なまけものといった特質を備えているのでその特質を理解して情報セキュリティ対策の実施プロセスを産み出すことが必要と述べ、以下のように述べています。


「第一に、「なぜ情報セキュリティ対策をやらなければならないのか?」という問いに対して、建前やきれい事ではない、根源的な理由を提示することが必要である。

 第二に、怠け者で単純反復作業を嫌い、元来楽観的である人間でも、継続的に取り組むための枠組みを考えることだ。やりたくない人でも、ついつい情報セキュリティ対策をやってしまうような、創意工夫に富んだ、実施方法を設計・実装しなければならない。

 第三に、徹底して調査、計測し、対策状況を可視化することだ。人は、成果の見えない物事はやりたがらない。であるならば、対策状況を可視化することで、成果を目に見えるようにしてしまえば良い。

 第四に、組織構成員全員を対象として、情報セキュリティについての効果的な教育プログラムを提供することだ

 読者の皆さんが、問題に気づき、より良い対策の実装の手助けとなることを目標として、本書はまとめられたこの充実した内容は、現時点でのベストプラクティスの一つである。これを使わない手はない。読者の皆さんの積極的な活用を切にお願いする。」


<<ポイント>>


組織の情報セキュリティの担当者、責任者、部門長、経営者のための情報セキュリティ対策実践の手引き書


本書では、PDCAサイクルに沿って情報セキュリティ対策の手順が解説されています。


情報セキュリティの組織と体制づくりにはじまり、


  • セキュリティポリシーのつくり方
  • 情報の管理
  • リスクマネジメント
  • 技術的対策の基本
  • 導入と運用のポイント
  • 脆弱性検査
  • セキュリティ評価

などについて、基本的な事項を丁寧に分かり易く解説しています。


とくにPDCAサイクルの中で重要ポイントについて現場での実践に活用できるといった観点から解説が進められています。


本書:「情報セキュリティ教本 改訂版」です。


組織の情報セキュリティ対策実践の手引き」との副題が付いています。


Handbok for CISO and Information Security Professionals」との英題が付いています。


「CISO(:企業内で情報セキュリティを統括する担当役員)と情報セキュリティの専門家のためのハンドブック」ということになります。


本書は、著者:情報処理推進機構(IPA)、ならびに土居 範久 先生の監修にて、2009年3月に実教出版より発行されています。


本書は、IPAによる「情報セキュリティ読本 改訂版」の姉妹本になります。


情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
実教出版
発売日:2009-03
発送時期:在庫あり。
ランキング:27317

<<本書のエッセンスの一部>>


本書は、12章から構成されています。


各章の最後でその章のポイントをまとめており、そこでその章をレビューできるという構成になっています。


またコラムの欄があり、例えば、「スパムメール対策」といったテーマなどについて具体的な対策法などを解説しています。


その章に関連するweb情報について、ネットで情報が得られるようにその参考のURLが掲載されています。


巻末に1985年から2007年までの情報セキュリティ事件・事故、IT関連の出来事、社会の出来事などが一覧でまとめられた情報セキュリティ関連年表が掲載されています。


本書で記載されている情報セキュリティの管理策は、基本的には、政府機関統一基準をベースとしたものとなっています。


ただ政府機関統一基準だけではなく、ISO/IEC 27000シリーズ等の国際標準やその他のガイドライン、IPAのホームページ上で掲載されている多くの対策実践情報なども参照されています。


またコンプライアンスの観点からどのようなセキュリティ対策を行なえばよいかといった内容も取り上げています


ざっとした概要を紹介します。


1章では、「はじめに
と題して、ITと情報セキュリティといった話題ではじまり、情報セキュリティの重要性、ガイドライン、本書の使い方に触れた上で、情報セキュリティを脅かす「ファイル交換ソフトで情報漏洩」といった4つの緊急事態の事例を取り上げ、それぞれについてどう予防したらよいかをまとめています。


上記の緊急事態について総括し、情報セキュリティ対策の基本的な考え方、情報資産、情報セキュリティの定義と情報セキュリティの3要素 などの基本を解説しています。


さらに情報セキュリティマネジメントシステム(ISMS)とPDCAサイクル、プロセスアプローチ、情報セキュリティ対策実施の成功要因をまとめ解説しています。


2章では、「情報セキュリティの組織
と題して、情報セキュリティ対策を進める上での組織と体制作りについて解説しています。


とくに経営者の役割、管理体制の構築 、情報セキュリティ委員会と専門家による助言、情報セキュリティの推進体制、違反と例外処置といった内容について留意すべきポイントをまとめ分かり易く、また組織と体制の事例(A社)を交えて解説しています。


3章では、「情報セキュリティポリシーのつくり方
と題して、情報セキュリティポリシーの定義の確認にはじまり、情報セキュリティポリシーの文書構成 、ガイドラインと実施手順、適用対象範囲や規程類との関係、情報セキュリティポリシー策定の流れなどをまず解説しています。


次いで情報セキュリティ基本方針、情報セキュリティ対策基準(管理策集(JIS Q 27002:2006)/政府機関の情報セキュリティ対策のための統一基準(政府機関統一基準)/地方公共団体における情報セキュリティポリシーに関するガイドライン/JNSA「情報セキュリティポリシー・サンプル0.92a版」/対策基準の構成と策定のポイント)、情報セキュリティ実施手順、について解説しています。


4章では、「情報の分類と管理
と題して、情報資産の洗い出し、管理責任者の決定、情報資産の分類と格付け、情報のライフサイクル(「情報の作成と入手」→「情報の利用」→「情報の保存」→「情報の移送」→「情報の提供」→「情報の消去」)と個人情報保護対策とその取扱い(情報の管理)といった取組についての手順と管理について解説しています。


5章では、「リスクマネジメント
と題して、リスクの定義にはじまり、リスクマネジメントリスクマネジメントシステム、リスクアセスメント、GMITSに見るリスク分析手法、リスク対応といった内容について解説しています。


リスクマネジメントの例について、ISMSユーザーズガイド、政府機関統一基準、NISTガイドラインの各手法について解説しています。


6章では、「技術的対策の基本
と題して、政府統一基準第四部の管理策をベースとした管理策の基本的な機能と脅威について解説しています。


とくに情報セキュリティの機能について、「主体認証」、「アクセス制御」、「権限管理」、「証跡管理(ログの管理)」、「暗号と電子署名」について解説しています。


また情報セキュリティについての脅威については、「セキュリティホール対策(脆弱性対策)」、「不正プログラム対策」、「サービス不能攻撃対策(DoS/DDoS攻撃対策)」について解説しています。


7章では、「セキュリティ製品とセキュリティサービス
と題して、さまざまなセキュリティ製品とセキュリティサービスのなかから代表的なものを取り上げ解説しています。


ネットワークセキュリティ製品については、ファイアウォール、WAF(Webアプリケーションファイアウォール) 、IDS(侵入検知システム)とIPS(侵入防止システム)、VPN(Virtual Private Network)、検疫システムについて解説しています。


認証製品については、PKI関連製品、認証サーバ、ワンタイムパスワード、ICカード/スマートカード 、バイオメトリック認証(Biometric Authentication)、シングルサインオン(Single Sign-On)について解説しています。


データセキュリティ関連製品については、情報漏えい防止ソリューション、メールセキュリティについて解説しています。


ウイルスなどの不正プログラム、スパム、フィッシング゙対策について、関連するソフトウェアの概要を、その他として、UTM(Unified Threat Management:統合脅威管理)、コンテンツフィルタリングソフトウェア、完全性チェックツール、フォレンジックツールについて、セキュリティサービスについては、コンサルティングサービス、セキュリティ教育など、セキュリティ監視、検知、運用管理サービス、電子認証サービス、タイムスタンプサービスなどを解説しています。


8章では、「導入と運用
と題して、前章までのplanからdo段階の取組の導入と運用について解説しています。


「情報セキュリティポリシーの周知と徹底」 、「従業員の管理と外部委託先の管理」、「事業継続管理、緊急時対応、インシデント対応」、「情報システムの導入と運用」などに関わる取組についての具体的な要領を解説しています。

9章では、「セキュリティ監視と侵入検知
と題して、システムのcheckにあたるセキュリティ監視について、脆弱性検査侵入検知についての概要とそのポイントについて解説しています。


脆弱性検査については、脆弱性検査のポイントからはじまり、Webサイトの脆弱性検査、チェックリストによるWebサイトの脆弱性検査、脆弱性検査ツールについて解説しています。


また 侵入検知については、侵入検知ツール、Webサイトの監視・検知といった点について解説しています。


10章では、「セキュリティ評価
と題して、システムのcheckに関わる公的な規格や標準に基づくセキュリティ評価について、その概要および実施方法等について解説しています。

情報セキュリティ対策実施状況の評価については、自己点検、情報セキュリティ対策ベンチマーク、情報セキュリティ監査、ISMS適合評価制度、情報セキュリティマネジメントに関する規格類といった内容を解説しています。


また製品調達におけるセキュリティ評価の活用については、ITセキュリティ評価及び認証制度、暗号モジュール試験及び認証制度(JCMVP)について、さらに適合性評価(Conformity Assessment)についてその概要を解説しています。


11章では、「見直しと改善
と題して、システムのactionに関わる情報セキュリティポリシーの見直しと改善のプロセスについて、定期的な見直し、環境の変化に伴う見直し、セキュリティ事件・事故の発生に伴う見直しといった観点から解説しています。


12章では、「法令遵守
と題して、刑法、著作権法、不正アクセス禁止法、不正競争防止法、電子署名法、eー文書法、個人情報保護法といった情報セキュリティに関わる法令遵守について解説しています。


とくに情報セキュリティに関連する法律として、個人情報の保護に関する法律(個人情報保護法) 、不正アクセス行為の禁止に関する法律(不正アクセス法)、不正競争防止法、e-文書法について解説しています。


また内部統制と情報セキュリティとして、コーポーレートガバナンス・リスク管理・内部統制、金融商品取引法、会社法、内部統制に関する基準やガイドライン、ITへの対応といった内容を解説しています。


また付章として、「政府統一基準と本書の関係
と題して、以下の説明、参考資料が掲載されています。


1.政府機関統一基準の構成と本書の関係
2.政府機関統一基準第4部と第5部との関係
資料1 JIS Q 27002:2006箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図表出典


<<本書で何が学べるか?>>


本書では、組織として、情報セキュリティ対策として実施すべき活動とそれをどのようにして実行すればようかという点についてPlan、Do、Check、ActionというPDCAのマネジメントサイクルに沿って、最新の情報セキュリティのツールなどのさまざまな事例を交えながら、具体的にわかりやすく解説しています


まさに組織の情報セキュリティの担当者、責任者、部門長、経営者のための情報セキュリティ対策実践の手引き書=教科書に相応しく充実した内容です


本書には、また組織に情報セキュリティ対策実践のハンドブックとして情報セキュリティ対策のために必要な情報が網羅されています。


<<まとめ>>


組織における情報セキュリティの担当者、責任者だけでなく、情報セキュリティに関心があるビジネスパースンには、読んで頂きたい一冊です


なお本書の主要目次は、以下の内容です。
「情報セキュリティ教本 改訂版」の発刊によせて
1章 はじめに
1.ITと情報セキュリティ
2.緊急事態発生!
3.基本的な考え方
4.情報セキュリティマネジメントシステムとPDCAサイクル
2章 情報セキュリティの組織
1.情報セキュリティの組織と体制づくり
2.情報セキュリティの組織と体制の例
3章 情報セキュリティポリシーのつくり方
1.情報セキュリティポリシーとは
2.情報セキュリティ基本方針
3.情報セキュリティ対策基準
4.情報セキュリティ実施手順
5.情報セキュリティポリシー策定のポイント
4章 情報の分類と管理
1.情報資産の洗い出しと管理責任者の決定
2.情報資産の分類と格付け
3.情報のライフサイクルとその取扱い(情報の管理)
5章 リスクマネジメント
1.リスクマネジメントとリスクマネジメントシステム
2.リスクアセスメント
3.GMITSに見るリスク分析手法
4.リスク対応
5.リスクマネジメントの例
6.リスクマネジメントのポイント
6章 技術的対策の基本
1.技術的対策における基本的機能と脅威
2.主体認証
3.アクセス制御
4.権限管理
5.証跡管理(ログの管理)
6.暗号と電子署名
7.パソコン上のデータ保護
8.セキュリティホール対策(脆弱性対策)
9.不正プログラム対策
10. サービス不能攻撃対策(DoS/DDoS攻撃対策)
11.技術的対策の基本:まとめ
7章 セキュリティ製品とセキュリティサービス
1.セキュリティ製品の導入にあたって
2.ネットワークセキュリティ製品
3.認証製品
4.データセキュリティ関連製品
5.ウイルスなどの不正プログラム、スパム、フィッシング゙対策
6.その他
7.セキュリティサービス
8.製品の選定と購入
8章 導入と運用
1.導入と運用にあたって
2.情報セキュリティポリシーの周知と徹底
3.従業員の管理と外部委託先の管理
4.事業継続管理、緊急時対応、インシデント対応
5.情報システムの導入と運用
9章 セキュリティ監視と侵入検知
1.セキュリティ監視
2.脆弱性検査
3.侵入検知
10章 セキュリティ評価
1.セキュリティ評価とは
2.情報セキュリティ対策実施状況の評価
3.製品調達におけるセキュリティ評価の活用
4.適合性評価(Conformity Assessment)
11章 見直しと改善
1.見直しと改善のプロセス
2.見直しの契機と対応
12章 法令遵守
1.法令遵守と情報セキュリティ
2.情報セキュリティに関連する法律
3 内部統制と情報セキュリティ

付章 政府機関統一基準と本書の関係
資料1 JIS Q 27002:2006箇条、セキュリティカテゴリ、管理策(タイトル)一覧
資料2 参考文献 参考URL
資料3 図表出典
索引
情報セキュリティ関連年表




にほんブログ村 本ブログへ



(広告)


WILLCOM NS WS026T


ウィルコムストア


「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得組織数は、2008年12月26日時点で、JIPDEC(財団法人日本情報処理開発協会)によると登録:2,960、公表:2,820との組織数となっています。


なおISMSの認証取得に関する参考文書等は、こちらのJIPDECのサイトから入手できます。


多数のISMSのクライアントへのコンサルティング支援の実績を持つ筆者が、ISO/IEC 27001の認証(ISMS適合性評価制度)を取得する上で必要とされるISMS構築から運用までのポイントを要領よくまとめるとともに、必要とされるISMS文書の事例を多数掲載して解説している本を紹介します


とくにISMSに取り組む際のハードルとされるリスクマネジメントとマネジメントシステムの文書化についてどのように推進すれば良いか。


さらに一般に難しいとされる有効性測定、ISMSの事業継続管理などについても丁寧に解説しています。


ISMS文書の事例については、本文に加えてこれらをMS-WORD文書のひな形として収録したCD-ROMも添付されていて参考になります


<<ポイント>>


ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得に向けての構築と運用の実践ガイド本。


本書の「まえがき」でも本書の意図した点について以下のように述べています。


ISMSの構築と運用をターゲットに選び、一連の流れをとおして、情報セキュリティのリスクマネジメントの構築とISMSの文書化及びISMSの運用について、その勘所に重点を置いて解説した。そして、具体的なイメージを読者に理解していただくためにコンサルティングで実際に使用する文書例と手順を掲載することにより、すぐに役立つ情報セキュリティマネジメントシステムの構築手引きとして構成した。これによって初心者には難解といわれる規定については、事例を通じて読者の理解を助ける工夫をした。


本書:「ISMS構築・認証取得ハンドブック」です。


ISO/IEC 27001対応 情報セキュリティマネジメントシステムの事例集」との副題が付いています。


本書は、羽生田 和正氏、 池田 秀司 氏、ならびに荒川 誠実 氏の共著にて、2008年12月に日科技連出版社より「情報セキュリティライブラリ」の一冊として発行されています。



<<本書のエッセンスの一部>>


本書の帯、並びに表紙カバーの折り返し部には、以下のように書かれてあります


すぐに使えるISO/IEC 27001対応 ISMS認証取得のパスポート。

ISMS文書のモデルを満載!(CD-ROM付)

事例でわかる!ISMS構築・認証取得の実践ガイド

本書は、ISO/IEC27001の認証(ISMS適合性評価制度)を取得するために必要なポイントを簡潔にまとめるとともに、必要とされるISMS文書の事例を多数掲載しています。これらの事例(モデル)は、CD−ROMにも収録されており、読者がISMSを構築する際の工数低減に役立ちます。また、一般に難しいとされる「リスクマネジメント」や「有効性の測定」については、丁寧に解説しています。 事例を通じて、ISMSの構築の仕方がすぐに分かります。


本書は、9章から構成されています。


第1章では、「情報セキュリティの概要
として、情報セキュリティの定義に始まり、情報セキュリティマネジメントシステムについてISO/IEC 27001、ISO/IEC 27002を中心にISMSの経緯と規格の基本的な考え方を解説し、さらにISO/IEC 27000~27007に至るISO/IEC 27000ファミリー規格の概要、ISO 19011、ISO/IEC 20000、BS 25999、ISO/IEC 14408などのISMS関連規格、ISMSと個人情報保護、ISMSと内部統制といった制度との関連含めて情報セキュリティの概要を解説しています。


第2章では、「ISMS構築の留意点
として、ISMSを構築する上で留意すべきポイントについて、リスクマネジメントをはじめ文書化、内部監査とマネジメントレビュー、有効性測定、事業継続管理、プロジェクト管理、規格の理解、教育研修と意識向上プログラムなど、準備・計画段階から認証審査段階に至るポイントについて、筆者のコンサル経験に基づくノウハウや考え方を中心に全体を概観しています。


第3章では、「ISMSの準備・計画
として、準備・計画フェーズで必要な作業について、立ち上げ、事前学習と予備調査、適用範囲の選定、構築スケジュール・構築費用などの各ポイントの検討とISMS基本計画書の作成、経営者の承認までの活動を取り上げ解説しています。


第4章では、「ISMSの枠組み構築
として、ISMSの推進体制、適用範囲とISMS基本方針、適用範囲の現状分析と基本対策、さらにISMSの文書化の取り組みについて解説しています。


第5章では、「リスクマネジメント
として、リスクマネジメントの流れの解説にはじまり、サンプルの実施フォーマットを活用しながらGAP分析など脆弱性分析、脅威分析などのリスクアセスメント手法、またリスク対応方針の決定からリスク対応計画に至るリスク対応のための実施方法についてフロー図や各種の図表を交えて解説しています。


第6章では、「有効性の測定と事業継続管理
として、ISMS全体から管理策の有効性の判定までと事業継続上のリスクアセスメントを含む事業継続管理について基本的な考え方から具体的実施手順までを解説しています。


第7章では、「ISMSの運用
として、認証取得がゴールではなくスタートとの観点から最初の運用フェーズについて試行運用であるとの位置づけから解説しています。日常の運用サイクルから内部監査、マネジメントレビューを通したISMSの運用の基本的なマネジメントサイクルの流れを解説しています。


第8章では、「内部監査とマネジメントレビュー
として、内部監査、マネジメントレビュー、及びISMSの有効性の改善に関わる是正処置・予防処置の手順を中心に関連記録類の作成の事例解説を交えて解説しています。


第9章では、「ISMSの認証審査
として、認証審査のついて認証機関の選定から、初回の審査の流れ、初回以降の審査の種類などISMSの認証及び維持の審査はどのようなものかを解説しています。


以降は、CD-ROMにもWORD文書として収録されている以下のようなひな形文書の資料集となっています。


情報セキュリティ基本方針/適用範囲文書/ISMSマニュアル/文書管理規程/コンプライアンス規程/教育訓練規程/セキュリティ対策基準/リスクマネジメント規程/インシデント管理規程/是正・予防処置規程/有効性測定規程/事業継続管理規程/内部監査規程/マネジメントレビュー規程/ISMS基本計画書(案)/内部監査チェックリスト


<<本書で何が学べるか?>>


本書は、ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得に向けての構築と運用の実践ガイド本としてまとまった内容となっています


とくにISMSのひな形の文書がすぐに利用できるCD-ROMで提供されていてISMSの構築・実施・改善の活動に役立つ事例も豊富です。


<<まとめ>>


これからISO/IEC 27001に基づく情報セキュリティマネジメントシステムの認証取得を考えておられる組織の関係者やすでにISMSの認証を取得されている組織の継続的の活動に関わる関係者には、本書は、身近において活用するハンドブックとしてお奨めです。


なお本書の目次は、以下の内容です。
第1章 情報セキュリティの概要
第2章 ISMS構築の留意点
第3章 ISMSの準備・計画
第4章 ISMSの枠組み構築
第5章 リスクマネジメント
第6章 有効性の測定と事業継続管理
第7章 ISMSの運用
第8章 内部監査とマネジメントレビュー
第9章 ISMSの認証審査
付録 ISMS構築に役立つ文書例





にほんブログ村 本ブログへ



(広告)


ジャパネットたかた:TVショッピングからのご注文


ジャパネットたかた メディアミックスショッピング


「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

「情報セキュリティが扱う対象やその環境は変化してきています。コンピュータ・ウイルスによる攻撃は、技術的に洗練されてきているだけでなく、ユーザー心理を巧みにつく手法も用いられるなど従来より格段に悪質になっています。(略)、脅威が見えないこと自体が脅威になっています。

このため、情報セキュリティ対策には質的な変化が求められます。ウイルス攻撃を仕掛ける相手の行動を理解し、予見するための積極的な対策を講じることが重要です。我々自身の弱点も正確に把握する必要があります。

その上で、情報処理システムやネットワーク社会が抱えているリスクを分析し、プロアクティブな対策をくみ、これを確実に実行していくことが必要になります。その対策は、守るべき資産とコストの観点から合理的でなければなりません。」


少し長い引用となりましたが、情報セキュリティに対する本質を付いていると思います。これは、本書の「刊行にあたって」の独立行政法人 情報処理機構(IPA)の西垣 浩司 理事長の言葉です。


本日は、情報処理推進機構(IPA)の情報セキュリティに関する年次報告書で、情報セキュリティについて、コンピュータウイルス・不正アクセス・脆弱性など情報セキュリティに関する最新の報告をもとに、その脅威・動向・対策を具体的に解説している本を紹介します。


情報セキュリティの動向と展望について、利用者、供給者、制度・人材といった観点から概観すると共に、主要なテーマについて解説しています。


また巻末には、情報セキュリティに関する用語集ならびに参考文献がその文献のURLと共に添付されています。


本書:「情報セキュリティ白書 2008」です。


脅威が見えない脅威−求められるプロアクティブな対策」との副題が付いています。


本書は、著者:独立行政法人 情報処理推進機構(IPA)にて、2008年6月に実教出版 より発行されています。


本書は、第吃堯А崗霾鵐札ュリティの動向と展望」ならびに第局堯А2007年の10大脅威」及び付録資料編とから構成されています。


カラフルな図表類が多数、挿入されています。また関連する資料等の情報について、その入手先のURLが多数紹介されています。


これらは、ISO/IEC 27001:2005(JIS Q 27001:2006:「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項」の5.2.2項の「教育・訓練,意識向上及び力量」に関係する資料として活用できるかと思われます


第吃瑤任蓮◆崗霾鵐札ュリティの動向と展望」
として、


第1章の「総論」においては、


第1節:「利用者側の動向と展望」において、一般利用者、企業ユーザー、政府、政府系機関、学校・医療等の公共機関等のITの利用主体者側で共通する情報セキュリティの動向ならびに今後の展望を解説しています。(世界及び我が国でのウイルス被害の現状から、これから求められる緊急対応能力までを解説しています。)


第2節:「供給者側の動向と展望」において、IT市場に関わるハードウェア、ソフトウェア、サービスなどを提供する供給者にとっての情報セキュリティの動向ならびに今後の展望を解説しています。(情報セキュリティの技術的側面と標準化活動から、委託業務構造における『セキュリティ対策の取組』までを解説しています。)


第3節:「制度及び人的な基盤の動向と展望」において、制度や人的な基盤と情報セキュリティとの関わりについての動向と展望を解説しています。(金融証券取引法、会社法、個人情報保護法、電子記録債権法などから新たな法制度の動向、さらには情報セキュリティ人材の育成に関する動向まで法的・制度的な基盤の動向と展望を解説しています。


第2章の「個別テーマ」においては、
今後重要な課題になりつつある以下の3つのテーマを取り上げその課題と対策について詳論しています。第1節:「IT社会を支える基盤としてのアイデンティティ管理」/第2節:「暗号の安心性低下によるシステム移行立案にあたっての問題」/第3節:「組込みシステムのセキュリティ」


第局瑤任蓮◆2007年の10大脅威」
として、「情報セキュリティ検討会」で2007年度において印象が強く、社会的影響も大きかったものとして、選定された以下の10大脅威を取り上げ、その概要から対策までを解説しています。さらに関連資料としてURLが紹介されています。



【1位】高まる「誘導型」攻撃の脅威
【2位】ウェブサイトを狙った攻撃の広まり
【3位】恒常化する情報漏えい
【4位】巧妙化する標的型攻撃
【5位】信用できなくなった正規サイト
【6位】検知されにくいボット、潜在化するコンピュータウイルス
【7位】検索エンジンからマルウェア配信サイトに誘導
【8位】国内製品の脆弱性が頻発
【9位】減らないスパムメール
【10位】組み込み製品の脆弱性の増加


この内容は、独立行政法人の情報処理機構(IPA)のサイトでPDFファイルが公開されています。(なおPDFファイルの閲覧には、Adobe Readerなどが必要です。)



また付録資料編では、付録A:「2007年のコンピューターウイルス届出状況」から 付録F:「組織の情報セキュリティ対策自己診断テスト−情報セキュリティ対策ベンチマーク−」までの資料が添付されています。


本書は、情報セキュリティに関心がある個人から経営者、管理者、担当者といった多くのビジネスパースンに是非、読んで頂きたい一冊です。


情報セキュリティ白書 (2008)
実教出版
発売日:2008-06
発送時期:通常4~5日以内に発送
ランキング:3469

なお本書の目次は、以下の内容です。
第吃堯‐霾鵐札ュリティの動向と展望
第1章 総論
第1節 利用者側の動向と展望
第2節 供給者側の動向と展望
第3節 制度及び人的な基盤の動向と展望
第2章 個別テーマ
第1節 IT社会を支える基盤としてのアイデンティティ管理
第2節 暗号の安心性低下によるシステム移行立案にあたっての問題
第3節 組込みシステムのセキュリティ
第局堯2007年の10大脅威
【1位】高まる「誘導型」攻撃の脅威
【2位】ウェブサイトを狙った攻撃の広まり
【3位】恒常化する情報漏えい
【4位】巧妙化する標的型攻撃
【5位】信用できなくなった正規サイト
【6位】検知されにくいボット、潜在化するコンピュータウイルス
【7位】検索エンジンからマルウェア配信サイトに誘導
【8位】国内製品の脆弱性が頻発
【9位】減らないスパムメール
【10位】組み込み製品の脆弱性の増加
付録資料編
付録A 2007年のコンピューターウイルス届出状況
付録B 2007年のコンピューター不正アクセス届出状況
付録C 2007年のソフトウェア等の脆弱性関連情報に関する届出状況
付録D 国内における情報セキュリティ事象被害状況調査
付録E 情報セキュリティに関する脅威に対する意識調査
付録F 組織の情報セキュリティ対策自己診断テスト(情報セキュリティ対策ベンチマーク−)
用語集 
参考文献




にほんブログ村 本ブログへ



(広告)


ライセンスオンライン アドビ製品ストア



「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

情報セキュリティマネジメントシステム(ISMS)の第三者認証のための国際規格のISO27001が制定・発行されたことと共に、ここ最近、ISO27001認証を取得する企業が激増してきています。

日本情報処理開発協会(JIPDEC)のデータによると我が国の2008年5月9日現在のISMS認証取得組織は、2653 組織とのことです。 (一方、プライバシーマークの付与を認定された事業者数は、9409社となっています。)


ISO/IEC 27001:2005(JIS Q 27001:2006) に基づく、ISMS認証の取得支援ならびに第三者認証に関係しない情報セキュリティの向上を目的とした企業プロジェクトの支援を通して、情報セキュリティの確保のためには、「情報セキュリティマネジメントシステムの構築・運用をすること」が何よりも大切ととの観点から、ISO 27001をベースとしながら、特に認証取得にこだわらずに情報セキュリティマネジメントシステムを手軽に構築・運用できるように情報セキュリティマネジメントシステムの構築と運用のポイントを解説している本を紹介します。


本書では、第1部において、経営者、プロジェクトリーダーに向けて情報セキュリティの全体像を解説し、次いで第2部では、情報セキュリティマネジメントシステムを構築していくプロジェクトの進行手順を解説し、そして第3部で、規格の付属書Aの明快な解説といった構成で、報セキュリティマネジメントシステムを通して企業が本当に強くなる方法について伝授しています


本書:「ISO27001でひもとく 情報セキュリティマネジメントシステム」です。


本書は、著者:ブレインワークス にて、2008年4月にカナリア書房より発行されています。


本書の帯には、以下のように書かれてあります。


なぜ、情報セキュリティ

定着しないのか?

ISO 27001の認証取得をベースに、

マネジメントシステムの構築と運用を

プロがこっそり教えます!

情報セキュリティ

企業が本当に強くなる方法が

分かった。


本書は、上で紹介したように3部から構成されています。各部の意図に応じてその内容の構成も少し変わっています。また部の終わりなどに「ITはブラックボックス化」などの『コラム』の欄が設けられ、興味深いトピックスが取り上げられています。


本書の内容についてざっと紹介していきます。


第1部では、「情報セキュリティマネジメントシステム構築とは
として、情報セキュリティの全体像について解説しています。企業経営と情報セキュリティの関わりについて幾つかの話題を取り上げ、情報セキュリティとは、玄関マットを敷く考え方と同じく物理的境界線を定め、リスクマネジメントにも関わるという話題など情報セキュリティの本質から第三者認証までについて解説しています。また情報セキュリティマネジメントシステムの構築について、やるべきことをリストアップするプランニングから始め、セキュリティプロジェクトについて行き詰まって失敗するケースを解説し、成功する上での留意ポイントなどを解説しています。情報セキュリティの、マネジメントサイクルを構築して、徐々にレベルアップを図るような方策が適切としています。


第2部では、「ISMSプロジェクト
として、ISMSの構築に向けてISMSプロジェクトを立ち上げて、どのようなステップでISMSを構築・推進するかを解説しています。最初に 準備→計画→運用→監査→改善→審査のプロジェクトのフローを示し、各ステップを章立てして、主要な活動プロセスについて、そのフローでの位置づけ、とくにそのプロセスでの重要事項やポイントを箇条書きで抜き出した『プロセスのツボ』、次いでそのプロセスがなぜ必要なのかを解説している『プロセスの目的』、さらにプロセスの具体的な進め方を解説している『プロセスの進め方』との構成でISO/IEC 27001:2005(JIQ Q 27001:2006)に基づく、情報セキュリティマネジメントシステムの構築の手順を解説しています。


第3部では、「付属書Aの解説
として、ISO 27001の付属書Aの133項目の詳細管理策について、ISO及びJISでの記述が難解だとして、前記管理策について分かり易く記述した『解釈』ならびに具体的な活用の例を記載した『管理策例』でA.15.3.2 といった条項番号について表でまとめて分かり易く解説しています。本来の情報セキュリティの目的に合致した使い勝手を重視したものとのことでJISの本文とは少し違った箇所もあります。


本書は、ISO/IEC 27001:2005JIS Q 27001:2006)規格をベースとする情報セキュリティマネジメントシステムの構築と運用のポイントが明確に整理されて分かり易く解説されていると思います


本書は、とくに組織においての情報セキュリティの定着、ISO 27001の認証取得に関心がある関係者には、お薦めの一冊です。



「ISO27001でひもとく情報セキュリティマネジメントシステム」のj本のpg画像

カナリア書房
ブレインワークス(著)
発売日:2008-04
発送時期:通常24時間以内に発送
ランキング:532809



なお本書の概要目次は、以下の通りです。
第1部 情報セキュリティマネジメントシステム構築とは
 第1章 経営における情報セキュリティの本質
 第2章 情報セキュリティマネジメントシステムの構築
第2部 ISMSプロジェクト
ISMSプロジェクトをはじめるにあたって
 第1章 準備
 第2章 計画
 第3章 運用
 第4章 監査
 第5章 改善
 第6章 審査
第3部 付属書Aの解説
 A.5 セキュリティ基本方針
 A.6 情報セキュリティのための組織
 A.7 資産の管理
 A.8 人的資源のセキュリティ
 A.9 物理的及び環境的セキュリティ
 A.10 通信及び運用管理
 A.11 アクセス制御
 A.12 情報システムの取得、開発及び保守
 A.13 情報セキュリティインシデントの管理
 A.14 事業継続管理
 A.15 順守




にほんブログ村 本ブログへ



(広告)


オラクルライセンスセンター 



「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

米マイクロソフトによる446億ドルに及ぶインターネットのポータルサイト運営の大手、米ヤフーへの買収提案について、更に敵対的TOBまでの展開の可能性が噂されています。


またこれに関係して米ヤフーの提携先にグーグルをはじめ、イーベイ、アメリカ・オンライン(AOL)、ニューズ・コーポレーション、AT&Tなどとの企業名が取り沙汰されるなど米のIT業界は活発な動きをみせています。


この動きが将来にどのようなインパクトをもたらすのか注目されます。


さて、本日は、企業の一般社員や管理職のビジネスパーソンを対象に情報セキュリティの基本について、必要な知識・情報を技術的な部分を最小限にして、各人の日常的な行動に活かせるとの観点から情報セキュリティに関する事象や話題について網羅的に解説している入門書を紹介します


本書では、情報漏洩の防止や事業継続管理、個人情報保護、情報セキュリティマネジメントシステム、リスクマネジメントシステム、情報セキュリティリテラシーの強化など情報セキュリティに関する重要なトピックスが網羅されています


本書:「ビジネスマンのための情報セキュリティ入門」です。


本書は、著者:林 國之 氏、ならびにキヤノンシステムソリューションズ株式会社、セキュリティソリューション事業部の編にて、2008年1月に東洋経済新報社より発行されています。


本書の帯には、以下のように書かれています。


備えあれば憂いなし!


企業の一般社員や派遣社員を対象に、


インターネットや電子メール、PCの持ち出しにおける注意事項など


情報セキュリティに関して


必要な情報・知識を網羅した入門書の決定版!



本書は、11章から構成されています。


第1章では、「企業における情報セキュリティの対象
として、「セキュリティとは」に始まり、セキュリティの意味や一般的な考え方から、企業・団体において守るべき情報資産としてどのようなものがあるかなど情報セキュリティんほ対象について解説しています。


第2章では、「情報セキュリティを取り巻く状況
として、企業が果たすべき社会的責任の一端として情報セキュリティが求められているという今日の状況に至る従来からの情報セキュリティ対策に関わるインターネットによる被害や情報漏洩事故などの諸現象について解説し、どのような問題や課題を含んでいるかについても解説しています。


第3章では、「情報漏えい事故の防止
として、情報漏洩事故を防止・抑制するための対策について、何故情報漏洩事項が起こるのかの原因系の分析から、情報漏洩の防止・予防のために必要な技術的観点も含めて解説しています。


第4章では、「インターネットの安全を図る
として、 インターネットにおける脅威やインターネットを通しての攻撃方法などについて整理し、その対策のために必要な要素技術並びにそれぞれについての対策方法について解説しています。


第5章では、「電子メールの安全を図る技術
として、とくに身近な電子メールについてその脅威と安全対策のための基本的な施策から技術などを解説しています。


第6章では、「情報資産のライフサイクルマネジメント
として、情報資産について、情報が生成され、利用され、消滅するまでの情報資産のライフサイクルについて整理し、どこに問題があり、どのように対処すれば効果的かなど情報資産のライフサイクルマネジメントの基本事項を解説しています。


第7章では、「情報セキュリティマネジメントシステム
として、情報セキュリティマネジメントシステムの構築から、実施、維持の活動を通して問題や課題を設定し、解決することで社員の意識向上と情報セキュリティマネジメントの実践力を高めることができるとして情報セキュリティマネジメントシステムの概要を解説しています。


第8章では、「個人情報保護
として、OECD8原則に始まる個人情報保護法の成立した経緯から、プライバシーマーク認証制度とJISQ15001:2006規格の要求事項の概要、個人情報保護マネジメントシステム、個人情報の漏洩事件、さらには個人情報保護のための取組活動について解説しています。


第9章では、「事業継続管理
として、大規模なシステム障害やテロ、法令に違反した食品製造などの予期しない事故等により事業の継続に支障をきたす事態に適切に対処するための事業継続管理について、その必要性の背景から、事業継続管理(BCP:Business Community Management)の構築の概要と事業継続計画(BCP:Business Community Plan)の考え方からその事業継続のための重要事項も含めて内容を解説しています。


第10章では、「リスクマネジメントシステム
として、情報セキュリティにおけるリスク管理の現状に始まり、業務の内部統制管理との関係、取引に関する情報セキュリティ上のリスク軽減策、さらにリスクマネジメントシステムについて、ISMS、個人情報保護、事業継続管理、内部統制の関連、さらにJIS Q 2001 :「リスクマネジメントシステム構築のための指針」など情報セキュリティに関わるリスクマネジメントシステムの構築について解説しています。


第11章では、「情報セキュリティリテラシーの強化
として、情報セキュリティの問題は、人の問題で、企業や団体の情報セキュリティは、その組織を構成する人々により維持されるとのことから、組織の人たちの力量の向上、職場のあり方など「積極的な情報セキュリティに関する能力」をテーマに、その能力はどのようなものか、行政等の能力向上の取組、能力向上にどう活用したら良いかなどを解説しています。


情報セキュリティに関わるビジネスパースンが求められる広範囲な内容について、網羅的にまた日常的な行動の考え方など分かり易く解説しています

 

ビジネスマンのための情報セキュリティ入門
東洋経済新報社
林 國之(著)キヤノンシステムソリューションズセキュリ(編さん)
発売日:2008-01
発送時期:通常24時間以内に発送
ランキング:58925

なお本書の目次は、以下の内容です。
第1章 企業における情報セキュリティの対象
第2章 情報セキュリティを取り巻く状況
第3章 情報漏えい事故の防止
第4章 インターネットの安全を図る
第5章 電子メールの安全を図る技術
第6章 情報資産のライフサイクルマネジメント
第7章 情報セキュリティマネジメントシステム
第8章 個人情報保護
第9章 事業継続管理
第10章 リスクマネジメントシステム
第11章 情報セキュリティリテラシーの強化






にほんブログ村 本ブログへ



(広告)


ライセンスオンライン アドビ製品ストア



「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

静岡大学総合情報処理センターでの2003年10月~2007年11月までの5年間にわたるISO/IEC 27001に基づくISMS(:情報セキュリティマネジメントシステム)活動の実践内容と運用手法を中心にISMSの構築と運用について解説している本を紹介します。


 新書版ながら情報セキュリティの向上、業務の効率化を実現するための効果的な啓蒙活動や安価なツールの活用、更には、効率的で安価な文書管理手法などに関するノウハウや研究成果を含め実践的なISMS活動の解説書となっています。


本書:「実践ISMS講座 情報セキュリティマネジメントと経営戦略」です。


本書は、静岡大学ISMS研究会の長谷川 孝博 先生、伊藤 賢氏、井上 春樹先生の共著ならびに八卷 直一 先生の監修にて、2007年12月に静岡学術出版 理工学新書070003として発行されています。


本書の裏表紙の折り返し部には、本書の内容紹介で以下のことが書かれてあります。


「13000名のユーザが利用する大規模かつ自由度の高い大規模組織内ネットワーク!
これに対して、わずか10数名の情報セキュリティチーム!果たして真の情報セキュリティ文化は、構築できたのでしょうか!


本書は、この問題解決を目指しISO27001の認証取得とその運用を通して果敢に取り組んできた少人数セキュリティ部署の成功の記録をまとめたものです


 どの様な施策を行えば情報セキュリティシステムを確立することができ、さらにその高い水準を維持することができるのでしょうか。


 セキュリティ向上、業務の効率化を実現するための効果的な啓蒙活動方法、安価なITツールの効果的活用法、そしてシステム構築の試行錯誤から得た貴重なノウハウ、研究成果など今すぐ役立つ話題満載の実践的ISMS解説書です。


企業、大学など幅広い分野の情報担当者に広くお勧めします。 」


本書は、15章からなります。1ページが1項目の読み切りの形式になっています。最初に写真や概念図などの図表で概要がまとめられ、それに解説の本文が続くという構成になっています。好きな箇所から読み始めることができます。通勤・通学の途上で読む進めるのにも好適です。


1章では、「はじめに」として、用語の説明や本書の構成の紹介があります。2章が「ISMSの概説」として、情報が第4の経営資源という話題に始まり、情報のCIA(機密性、完全性、可用性)と基本方針、PDCAとプロセスアプローチ、ISMS規格のPDCA構成などが取り上げられています。


3章では、「身の回りからはじめるISMS」として、ISMSをはじめましょうから始まり心得、基本方針の作成に向けてなどのISMSの基本的な事項について分かり易く解説されています。


4章では、「物理境界のセキュリティ」として、スタンドアロン型入室管理システムから、TVカメラ監視装置までの物理境界のセキュリティについて、5章では、「リスクアセスメント」として、リスクアセンスメント手法の要求要件から、脅威レベルを推定する上での注意、リスクアセスメント手法の種類や考え方について、6章では、「マインドマップ」として、トニー・ブザンのマインドマップ手法をISMSに活用していく静岡大学式の手法について解説されています。


7章では、「その他のITツール」として、ワープロソフト、マインドマップソフト、電子掲示板システムなどのその他の活用されたツールについて解説。8章では、「内部監査(監査)」として、ISMS内部監査の概要から進め方、9章では、「マネジメントレビュー」として、それぞれの概要について解説しています。


10章では、「大学のISMS」として、大学における情報セキュリティの位置づけ、問題点、運用、ISMSの効能などを解説。11章では、「情報基盤とISMS」として、静岡大学の情報セキュリティセンターの活動の概要が解説されています。


12章では、「文書作成と管理」として、また13章では、「便利なワープロ基本機能」として、ISMSの文書管理手法として実施されたワープロの基本機能や活用手法について、ISMSマニュアル、手順書などの書き方から変更管理の手法など解説しています。


14章では、「ISMSに関する研究紹介」、15章では、「ISMS中長期戦略」として、大学でのISMS研究活動について解説しています。この二つの章では、リスクアセスメントの自動化手法など1ページの読み切り形式ではなく論文的な記載形式になっています。


ISO/IEC27001の認証に取り組まれる組織の関係者だけでなく、ISMSの分かり易い啓蒙書として情報セキュリティに関心があるビジネスパーソンにお奨めです


実践ISMS講座 情報セキュリティマネジメントと経営戦略
静岡学術出版
静岡大学ISMS研究会(著)八巻 直一(監修)
発売日:2007-12-21
発送時期:通常24時間以内に発送
ランキング:146581



なお本書の目次は、以下の内容です。
1. はじめに
2. ISMS概説
3. 身の回りからはじめるISMS
4. 物理境界のセキュリティ
5. リスクアセスメント
6. マインドマップ
7. その他のITツール
8. 内部監査(監査)
9. マネジメントレビュー
10. 大学のISMS
11. 情報基盤とISMS
12. 文書作成と管理
13. 便利なワープロ基本機能
14. ISMSに関する研究紹介
15. ISMS中長期戦略
16. 各種資料
17. 著者紹介及び謝辞







(広告)


ウインター・キャンペーン2008


アルク


にほんブログ村 本ブログへ



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

  ISO/IEC 27001:2005JSIQ27001:2006、情報セキュリティマネジメントシステム)について認証取得したソフトウェア会社がISO27001の社内体制の構築から、マニュアル、規定類、帳票様式のすべての文書実例までを公開し、そのポイントを解説している本を紹介します。

 これから認証取得を目指される組織関係者に、ISO 27001の取得プロセスをわかりやすく実例に基づき解説しています。

 本書は、最小限のスリムな文書数で認証取得を実現した会社の文書を公開し、実際にシステムを構築して文書類を作成するコツを参考例として提示しているものです

 またISMSの認証取得からPDCAのマネジメントサイクルを運用し継続的な改善の取組の最新のシステムが反映された実例集とのこと。

本書:「スリムに実現するISO27001完全実例集」です。

本書は、著者:村島 昭男 氏(株式会社ゼロソフト)にて、2007年7月にオーム社より発行されています。

前著の「スリムに実現するISMS完全実例集」のISO27001への改定に対応して内容を大幅に変更した位置づけとなっています。

著者は、「はしがき」の中で、同社がISO27001の認証取得したことによるメリットについて社外的(~ぁ砲伴卞眦(~)として以下のような点を上げています。

仝楜劼陵弋瓩離札ュリティ対策が、ISO27001の認証で軽減された

ISO27001認証取得企業としての社会的信頼を得た

ISO27001認証取得企業として営業が有利に運んだ


ISO27001認証取得企業としてホームページでPRできた

ゥ灰鵐廛薀ぅ▲鵐垢亮汰により各社員がプライドが持てるようになった

ζ常扱っている情報価値の再認識

Ь霾鷸饂困砲弔い堂礎祐僂療一化ができた

┘リアデスクの徹底による社内の整理整頓が進む

情報資産の取扱が均一化

情報のバックアップが整備され安心が増えた

業務上のセキュリティ要求事項に関わる契約への明確な対応

災害時の対策手順が確立し、安心した業務活動

事件、事項に繋がる「ウッカリハット」の事項の管理による未然防止の強化

人的セキュリティの管理策の強化に伴う安心

ISO9001とのマネジメントシステムとしての統合管理


また本書のマニュアル、規定類、帳票様式などの完全実例文書を収録したCD-ROMを株式会社ゼロソフトにて販売中とのことです。

本書は、3章から構成されています。

1章では、「ISMS取得プロセス
として、ISO27001の認証取得の意思決定をしてから、社内体制を構築し、マニュアルなどのISMSを構築し運用する、また内部監査から審査までのISMSの取得のプロセスを時系列的に解説しています。


2章では、「文書の構成と作成のポイント
として、ISMSの文書構成の体系から、特にISMSマニュアルの作成のポイント、さらに帳票作成上のポイントと、ISMSの運用上のコツなどを重点にISMS文書をどのように構成し、作成すればよいかといったポイントを株式会社ゼロソフトの事例を基に解説しています。

3章では、「文書実例
として、この章がISO27001のマニュアル等の文書類の実例が掲載され、本書の中核部分になります。この文書実例では、以下の文書を取り上げています。

  •  情報セキュリティマニュアル
  • 事業継続管理手順
  • 適用宣言書
  • 情報資産管理台帳
  • リスク対応計画書
  • 残留リスク一覧
  • 情報セキュリティルールブック
  • システム管理マニュアル
  • サーバ運用マニュアル

さらに帳票類としては、帳-01:「トラブル報告書」から帳-43:「ストレスチェックシート」までの43種類の帳票類が取り上げられています。


また付録(帳票記入例)として上記の43種類の全ての帳票の記入例が掲載されています。

スリムに実現するISO27001完全実例集
オーム社
村島 昭男(著)
発売日:2007-07
発送時期:通常24時間以内に発送
ランキング:154074

なお本書の目次は、以下の内容です。
1章 ISMS取得プロセス
1.1 取得決定
1.2 社内体制の確立
1.3 ISMSの構築
1.4 内部監査
1.5 審査
2章 文書の構成と作成のポイント
2.1 ISMSの文書構成
2.2 ISMSのマニュアル作成ポイント
2.3 帳票作成上のポイント
2.4 運用上のコツ
3章 文書実例
 情報セキュリティマニュアル
 事業継続管理手順
 適用宣言書
 情報資産管理台帳
 リスク対応計画書
 残留リスク一覧
 情報セキュリティルールブック
 システム管理マニュアル
 サーバ運用マニュアル
  帳票類
付録(帳票記入例)
帳01トラブル報告書/帳02セキュリティ連絡票 ほか

にほんブログ村 本ブログへ


(広告)

0708夏キャンその2

「おうちプリント」はデポで!

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク
Google 翻訳
Categories
運営者情報
track word
Profile
旅行なら
<

簡単検索
全国のホテルをあなた
好みで検索できます。
■日程
チェックイン
チェックアウト

■1部屋あたりのご利用人数
大人
小学校高学年
小学校低学年
幼児
(食事・布団付)
幼児(食事のみ)
幼児(布団のみ)
幼児
(食事・布団不要)

■部屋数 部屋

■宿泊料金の範囲
■地域を選択する
  
QRコード
QRコード
あわせて読みたい
あわせて読みたいブログパーツ
RSS


【このページをRSSリーダーに登録する!】
Googleに追加
My Yahoo!に追加
livedoor Readerに追加
はてなRSSに追加
goo RSSリーダーに追加
Bloglinesに追加
Technoratiに追加
PAIPOREADERに追加
newsgatorに追加
feedpathに追加

track feed ISOの本棚

  • seo