ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得組織数は、2008年12月26日時点で、JIPDEC(財団法人日本情報処理開発協会)によると登録:2,960、公表:2,820との組織数となっています。


なおISMSの認証取得に関する参考文書等は、こちらのJIPDECのサイトから入手できます。


多数のISMSのクライアントへのコンサルティング支援の実績を持つ筆者が、ISO/IEC 27001の認証(ISMS適合性評価制度)を取得する上で必要とされるISMS構築から運用までのポイントを要領よくまとめるとともに、必要とされるISMS文書の事例を多数掲載して解説している本を紹介します


とくにISMSに取り組む際のハードルとされるリスクマネジメントとマネジメントシステムの文書化についてどのように推進すれば良いか。


さらに一般に難しいとされる有効性測定、ISMSの事業継続管理などについても丁寧に解説しています。


ISMS文書の事例については、本文に加えてこれらをMS-WORD文書のひな形として収録したCD-ROMも添付されていて参考になります


<<ポイント>>


ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得に向けての構築と運用の実践ガイド本。


本書の「まえがき」でも本書の意図した点について以下のように述べています。


ISMSの構築と運用をターゲットに選び、一連の流れをとおして、情報セキュリティのリスクマネジメントの構築とISMSの文書化及びISMSの運用について、その勘所に重点を置いて解説した。そして、具体的なイメージを読者に理解していただくためにコンサルティングで実際に使用する文書例と手順を掲載することにより、すぐに役立つ情報セキュリティマネジメントシステムの構築手引きとして構成した。これによって初心者には難解といわれる規定については、事例を通じて読者の理解を助ける工夫をした。


本書:「ISMS構築・認証取得ハンドブック」です。


ISO/IEC 27001対応 情報セキュリティマネジメントシステムの事例集」との副題が付いています。


本書は、羽生田 和正氏、 池田 秀司 氏、ならびに荒川 誠実 氏の共著にて、2008年12月に日科技連出版社より「情報セキュリティライブラリ」の一冊として発行されています。



<<本書のエッセンスの一部>>


本書の帯、並びに表紙カバーの折り返し部には、以下のように書かれてあります


すぐに使えるISO/IEC 27001対応 ISMS認証取得のパスポート。

ISMS文書のモデルを満載!(CD-ROM付)

事例でわかる!ISMS構築・認証取得の実践ガイド

本書は、ISO/IEC27001の認証(ISMS適合性評価制度)を取得するために必要なポイントを簡潔にまとめるとともに、必要とされるISMS文書の事例を多数掲載しています。これらの事例(モデル)は、CD−ROMにも収録されており、読者がISMSを構築する際の工数低減に役立ちます。また、一般に難しいとされる「リスクマネジメント」や「有効性の測定」については、丁寧に解説しています。 事例を通じて、ISMSの構築の仕方がすぐに分かります。


本書は、9章から構成されています。


第1章では、「情報セキュリティの概要
として、情報セキュリティの定義に始まり、情報セキュリティマネジメントシステムについてISO/IEC 27001、ISO/IEC 27002を中心にISMSの経緯と規格の基本的な考え方を解説し、さらにISO/IEC 27000~27007に至るISO/IEC 27000ファミリー規格の概要、ISO 19011、ISO/IEC 20000、BS 25999、ISO/IEC 14408などのISMS関連規格、ISMSと個人情報保護、ISMSと内部統制といった制度との関連含めて情報セキュリティの概要を解説しています。


第2章では、「ISMS構築の留意点
として、ISMSを構築する上で留意すべきポイントについて、リスクマネジメントをはじめ文書化、内部監査とマネジメントレビュー、有効性測定、事業継続管理、プロジェクト管理、規格の理解、教育研修と意識向上プログラムなど、準備・計画段階から認証審査段階に至るポイントについて、筆者のコンサル経験に基づくノウハウや考え方を中心に全体を概観しています。


第3章では、「ISMSの準備・計画
として、準備・計画フェーズで必要な作業について、立ち上げ、事前学習と予備調査、適用範囲の選定、構築スケジュール・構築費用などの各ポイントの検討とISMS基本計画書の作成、経営者の承認までの活動を取り上げ解説しています。


第4章では、「ISMSの枠組み構築
として、ISMSの推進体制、適用範囲とISMS基本方針、適用範囲の現状分析と基本対策、さらにISMSの文書化の取り組みについて解説しています。


第5章では、「リスクマネジメント
として、リスクマネジメントの流れの解説にはじまり、サンプルの実施フォーマットを活用しながらGAP分析など脆弱性分析、脅威分析などのリスクアセスメント手法、またリスク対応方針の決定からリスク対応計画に至るリスク対応のための実施方法についてフロー図や各種の図表を交えて解説しています。


第6章では、「有効性の測定と事業継続管理
として、ISMS全体から管理策の有効性の判定までと事業継続上のリスクアセスメントを含む事業継続管理について基本的な考え方から具体的実施手順までを解説しています。


第7章では、「ISMSの運用
として、認証取得がゴールではなくスタートとの観点から最初の運用フェーズについて試行運用であるとの位置づけから解説しています。日常の運用サイクルから内部監査、マネジメントレビューを通したISMSの運用の基本的なマネジメントサイクルの流れを解説しています。


第8章では、「内部監査とマネジメントレビュー
として、内部監査、マネジメントレビュー、及びISMSの有効性の改善に関わる是正処置・予防処置の手順を中心に関連記録類の作成の事例解説を交えて解説しています。


第9章では、「ISMSの認証審査
として、認証審査のついて認証機関の選定から、初回の審査の流れ、初回以降の審査の種類などISMSの認証及び維持の審査はどのようなものかを解説しています。


以降は、CD-ROMにもWORD文書として収録されている以下のようなひな形文書の資料集となっています。


情報セキュリティ基本方針/適用範囲文書/ISMSマニュアル/文書管理規程/コンプライアンス規程/教育訓練規程/セキュリティ対策基準/リスクマネジメント規程/インシデント管理規程/是正・予防処置規程/有効性測定規程/事業継続管理規程/内部監査規程/マネジメントレビュー規程/ISMS基本計画書(案)/内部監査チェックリスト


<<本書で何が学べるか?>>


本書は、ISO/IEC 27001に基づく情報セキュリティマネジメントシステム(ISMS)の認証取得に向けての構築と運用の実践ガイド本としてまとまった内容となっています


とくにISMSのひな形の文書がすぐに利用できるCD-ROMで提供されていてISMSの構築・実施・改善の活動に役立つ事例も豊富です。


<<まとめ>>


これからISO/IEC 27001に基づく情報セキュリティマネジメントシステムの認証取得を考えておられる組織の関係者やすでにISMSの認証を取得されている組織の継続的の活動に関わる関係者には、本書は、身近において活用するハンドブックとしてお奨めです。


なお本書の目次は、以下の内容です。
第1章 情報セキュリティの概要
第2章 ISMS構築の留意点
第3章 ISMSの準備・計画
第4章 ISMSの枠組み構築
第5章 リスクマネジメント
第6章 有効性の測定と事業継続管理
第7章 ISMSの運用
第8章 内部監査とマネジメントレビュー
第9章 ISMSの認証審査
付録 ISMS構築に役立つ文書例





にほんブログ村 本ブログへ



(広告)


ジャパネットたかた:TVショッピングからのご注文


ジャパネットたかた メディアミックスショッピング


「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

ISO/IEC 27001:2005規格(JIS Q 27001:2006 「情報技術−セキュリティ技術−情報セキュリティマネジメントシステム要求事項」)に基づく、今日までの認証取得組織数は、財団法人日本情報処理開発協会(JIPDEC)によると2008年8月29日現在 登録:2770組織と伸びているようです


ただ現在までのところ、情報セキュリティマネジメントシステム(ISMS R)について認証されている組織は、大企業が中心で、中小企業まではなかなか浸透していないようです。


<<ポイント>>


中小企業向け低コスト3段階ISMSの構築の指針書


特に中小企業がISO/IEC 27001:2005規格認証を行うとなるとそのコストが問題とされています。


中小企業が低コストで情報セキュリティマネジメントシステム(以降ISMS Rと略)を構築できるようにユニークな以下のようなホップ・ステップ・ジャンプの3段階ステップを通したISMS構築の指針を提示し、解説している本を紹介します


  1. 独立行政法人 情報処理推進機構(IPA)の「情報セキュリティ対策ベンチマーク」を活用したISMS構築
  2. ISO 27001をベースにしたISMSの構築
  3. ISMS認証の取得

ISMSの基本事項の解説から、ISO/IEC 27001ベースのISMSの構築手法、ISMS適合性認証制度による認証取得までをイラストなどの多数の図表を交えて分かり易く解説しています


本書:「ISO27001 低コストで実現する情報セキュリティマネジメント」です。


本書は、著者:中野 明 氏にて、2008年8月にオーム社 より発行されています。


情報セキュリティマネジメントの書籍のjpg画像
オーム社
発売日:2008-08
発送時期:通常24時間以内に発送

<<本書のエッセンスの一部>>


これまでにも独立行政法人 情報処理推進機構(IPA)の情報等は、ISMSの教育資料として広く活用されています。


本書では、3段飛びのホップの段階でIPAの「情報セキュリティ対策ベンチマーク」を活用してISMSを構築していくという取組を提案しています。


基準が2つとなるとダブルスタンダードになり無駄が生じるという懸念がありますが、「情報セキュリティ対策ベンチマーク」は、基準ではなく、組織の情報セキュリティマネジメントシステムの実施状況を、自らが評価する自己診断ツールになります。


また「情報セキュリティ対策ベンチマーク」は、現在ver3.1となっています。ver3.0においてすでにJIS Q 27001:2006への対応等がされていますので、JIS Q 27001:2006とも整合した自己診断ツールとなっています。


情報セキュリティ対策ベンチマーク」は、web上で情報セキュリティ対策への取組みに関する 25 問 ( 評価項目 ) への回答から組織の対策状況のスコアが計算されます。


特にこの 25 問は、 ISMS 認証基準である JIS Q 27001:2006 付属書 A の管理策( 133 項目)をベースに作成されており、評価項目の量を 25 項目に抑え、わかりやすい言葉と表現が用いられています。


これを用いて診断すると診断企業は、情報セキュリティリスク指標に応じて、以下の3つのいずれかのグループに分類されるというものになっています。


  1. 高水準のセキュリティレベルが要求される層
  2. 相応の水準のセキュリティレベルが望まれる層
  3. 情報セキュリティ対策が喫緊の課題でない層

詳しくは、IPAのサイトにてご確認下さい。


本書の構成をざっと紹介します。


本書は、9章から構成されています。イラストなどの図表が多数挿入されていて分かり易い構成になっています。


1から3章がホップの段階に相当します。


1章では、「情報セキュリティマネジメントと会社の経営」として、情報セキュリティの格付専門会社が登場したように情報セキュリティの組織の取組の違いが企業格差になる等、いまなぜISMSが必要かといった内容を概観しています。


2章では、「ISMSを導入する前に知っておくべきこと」として、情報セキュリティとは何かから始まり、その3要素、ISMSとは、PDCAの基本、本書の展開ステップの概要、ISMS構築コストの見積もり方などを解説しています。


3章では、「ISMS構築のファーストステップ」として、ISMSの構築手順、組織構築、「情報セキュリティ対策ベンチマーク」を活用しての診断、その結果の見方、ISMSポリシー、ボトルネックを特定し制約条件の改善の実施、情報セキュリティ対策の立案、同手順書作成、対応策の導入、点検、ベンチマークの再診断などといったISMSのファーストステップの構築手順を解説しています。


4から8章がステップの段階に相当します。このステップは、ISO/IEC 27001:2005(JIS Q 27001:2006)に沿ったISMSの更なる高度化のステップになります。


4章では、「ISO27001ベースのISMS構築(1) まず知っておくべきこと」として、ISMS適合性認証制度の解説に始まり、ISO 27001規格の全体的な概要について解説しています。とくに経営トップの関与の重要性を強調しています。


5章では、「ISO27001ベースのISMS構築(2) リスクアセスメント」として、基本方針の確認からリスクアセスメントの制定と実施に関して、とくにリスクアセスメントについて、リスク分析からリスク評価の詳細な手順を重点解説しています。


6章では、「ISO27001ベースのISMS構築(3) リスク管理策の理解」として、付属書Aのリスク管理策について、「A.5 セキュリティ基本方針、A.6 情報セキュリティのための組織、A.7 資産の管理、A.8 人的資源のセキュリティ、A.9 物理的及び環境的セキュリティ、A.10 通信及び運用管理、A.11 アクセス制御、A.12 情報システムの取得、開発及び保守、A.13 情報セキュリティインシデントの管理、A.14 事業継続管理、A.15 順守」のポイントを解説しています。


7章では、「ISO27001ベースのISMS構築(4) 文書化の実際」として、ISO27001に関わる文書化要求と文書化すべきアイテム、作成すべき文書類を明確にし、どのように文書化を進めたら良いかから文書管理の考え方等を解説しています。


8章では、「ISO27001ベースのISMS構築(5) ISMSの導入、点検、改善」として、トップの承認と適用宣言書の作成から運用、内部監査、マネジメントレビューの実施、是正処置・予防処置の実施などを解説しています。


9章がジャンプの段階に相当します。この段階では、9章:「ISMS適合性評価制度による認証の取得」として、ISMS認証の取得を取り上げ、そのための関連情報を解説しています。


<<本書で何が学べるか?>>


本書は、中小企業が低コストでISMSを構築できるようにホップ・ステップ・ジャンプの3段階ステップを通したISMS構築について提示し解説しています


情報セキュリティ対策ベンチマーク」をツールとして有効に活用して、将来、認証へのグレードアップも可能なしっかりとしたISMSを中小企業が低コストで構築できる方法が解説されています。


<<まとめ>>


情報セキュリティマネジメントシステムを構築するニーズを感じておられる中小企業の経営者から情報セキュリティ担当者の方々、情報セキュリティに関心のあるビジネスパースンには、お薦めの一冊です


なお本書の概要目次は、以下です。
はじめに
1章 情報セキュリティマネジメントと会社の経営
2章 ISMSを導入する前に知っておくべきこと
3章 ISMS構築のファーストステップ
4章 ISO27001ベースのISMS構築(1) まず知っておくべきこと
5章 ISO27001ベースのISMS構築(2) リスクアセスメント
6章 ISO27001ベースのISMS構築(3) リスク管理策の理解
7章 ISO27001ベースのISMS構築(4) 文書化の実際
8章 ISO27001ベースのISMS構築(5) ISMSの導入、点検、改善
9章 ISMS適合性評価制度による認証の取得






にほんブログ村 本ブログへ



(広告)


Adobe Creative Suite 3.3 Web Premium



「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

情報セキュリティマネジメントシステム(ISMS)の第三者認証のための国際規格のISO27001が制定・発行されたことと共に、ここ最近、ISO27001認証を取得する企業が激増してきています。

日本情報処理開発協会(JIPDEC)のデータによると我が国の2008年5月9日現在のISMS認証取得組織は、2653 組織とのことです。 (一方、プライバシーマークの付与を認定された事業者数は、9409社となっています。)


ISO/IEC 27001:2005(JIS Q 27001:2006) に基づく、ISMS認証の取得支援ならびに第三者認証に関係しない情報セキュリティの向上を目的とした企業プロジェクトの支援を通して、情報セキュリティの確保のためには、「情報セキュリティマネジメントシステムの構築・運用をすること」が何よりも大切ととの観点から、ISO 27001をベースとしながら、特に認証取得にこだわらずに情報セキュリティマネジメントシステムを手軽に構築・運用できるように情報セキュリティマネジメントシステムの構築と運用のポイントを解説している本を紹介します。


本書では、第1部において、経営者、プロジェクトリーダーに向けて情報セキュリティの全体像を解説し、次いで第2部では、情報セキュリティマネジメントシステムを構築していくプロジェクトの進行手順を解説し、そして第3部で、規格の付属書Aの明快な解説といった構成で、報セキュリティマネジメントシステムを通して企業が本当に強くなる方法について伝授しています


本書:「ISO27001でひもとく 情報セキュリティマネジメントシステム」です。


本書は、著者:ブレインワークス にて、2008年4月にカナリア書房より発行されています。


本書の帯には、以下のように書かれてあります。


なぜ、情報セキュリティ

定着しないのか?

ISO 27001の認証取得をベースに、

マネジメントシステムの構築と運用を

プロがこっそり教えます!

情報セキュリティ

企業が本当に強くなる方法が

分かった。


本書は、上で紹介したように3部から構成されています。各部の意図に応じてその内容の構成も少し変わっています。また部の終わりなどに「ITはブラックボックス化」などの『コラム』の欄が設けられ、興味深いトピックスが取り上げられています。


本書の内容についてざっと紹介していきます。


第1部では、「情報セキュリティマネジメントシステム構築とは
として、情報セキュリティの全体像について解説しています。企業経営と情報セキュリティの関わりについて幾つかの話題を取り上げ、情報セキュリティとは、玄関マットを敷く考え方と同じく物理的境界線を定め、リスクマネジメントにも関わるという話題など情報セキュリティの本質から第三者認証までについて解説しています。また情報セキュリティマネジメントシステムの構築について、やるべきことをリストアップするプランニングから始め、セキュリティプロジェクトについて行き詰まって失敗するケースを解説し、成功する上での留意ポイントなどを解説しています。情報セキュリティの、マネジメントサイクルを構築して、徐々にレベルアップを図るような方策が適切としています。


第2部では、「ISMSプロジェクト
として、ISMSの構築に向けてISMSプロジェクトを立ち上げて、どのようなステップでISMSを構築・推進するかを解説しています。最初に 準備→計画→運用→監査→改善→審査のプロジェクトのフローを示し、各ステップを章立てして、主要な活動プロセスについて、そのフローでの位置づけ、とくにそのプロセスでの重要事項やポイントを箇条書きで抜き出した『プロセスのツボ』、次いでそのプロセスがなぜ必要なのかを解説している『プロセスの目的』、さらにプロセスの具体的な進め方を解説している『プロセスの進め方』との構成でISO/IEC 27001:2005(JIQ Q 27001:2006)に基づく、情報セキュリティマネジメントシステムの構築の手順を解説しています。


第3部では、「付属書Aの解説
として、ISO 27001の付属書Aの133項目の詳細管理策について、ISO及びJISでの記述が難解だとして、前記管理策について分かり易く記述した『解釈』ならびに具体的な活用の例を記載した『管理策例』でA.15.3.2 といった条項番号について表でまとめて分かり易く解説しています。本来の情報セキュリティの目的に合致した使い勝手を重視したものとのことでJISの本文とは少し違った箇所もあります。


本書は、ISO/IEC 27001:2005JIS Q 27001:2006)規格をベースとする情報セキュリティマネジメントシステムの構築と運用のポイントが明確に整理されて分かり易く解説されていると思います


本書は、とくに組織においての情報セキュリティの定着、ISO 27001の認証取得に関心がある関係者には、お薦めの一冊です。



「ISO27001でひもとく情報セキュリティマネジメントシステム」のj本のpg画像

カナリア書房
ブレインワークス(著)
発売日:2008-04
発送時期:通常24時間以内に発送
ランキング:532809



なお本書の概要目次は、以下の通りです。
第1部 情報セキュリティマネジメントシステム構築とは
 第1章 経営における情報セキュリティの本質
 第2章 情報セキュリティマネジメントシステムの構築
第2部 ISMSプロジェクト
ISMSプロジェクトをはじめるにあたって
 第1章 準備
 第2章 計画
 第3章 運用
 第4章 監査
 第5章 改善
 第6章 審査
第3部 付属書Aの解説
 A.5 セキュリティ基本方針
 A.6 情報セキュリティのための組織
 A.7 資産の管理
 A.8 人的資源のセキュリティ
 A.9 物理的及び環境的セキュリティ
 A.10 通信及び運用管理
 A.11 アクセス制御
 A.12 情報システムの取得、開発及び保守
 A.13 情報セキュリティインシデントの管理
 A.14 事業継続管理
 A.15 順守




にほんブログ村 本ブログへ



(広告)


オラクルライセンスセンター 



「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

静岡大学総合情報処理センターでの2003年10月~2007年11月までの5年間にわたるISO/IEC 27001に基づくISMS(:情報セキュリティマネジメントシステム)活動の実践内容と運用手法を中心にISMSの構築と運用について解説している本を紹介します。


 新書版ながら情報セキュリティの向上、業務の効率化を実現するための効果的な啓蒙活動や安価なツールの活用、更には、効率的で安価な文書管理手法などに関するノウハウや研究成果を含め実践的なISMS活動の解説書となっています。


本書:「実践ISMS講座 情報セキュリティマネジメントと経営戦略」です。


本書は、静岡大学ISMS研究会の長谷川 孝博 先生、伊藤 賢氏、井上 春樹先生の共著ならびに八卷 直一 先生の監修にて、2007年12月に静岡学術出版 理工学新書070003として発行されています。


本書の裏表紙の折り返し部には、本書の内容紹介で以下のことが書かれてあります。


「13000名のユーザが利用する大規模かつ自由度の高い大規模組織内ネットワーク!
これに対して、わずか10数名の情報セキュリティチーム!果たして真の情報セキュリティ文化は、構築できたのでしょうか!


本書は、この問題解決を目指しISO27001の認証取得とその運用を通して果敢に取り組んできた少人数セキュリティ部署の成功の記録をまとめたものです


 どの様な施策を行えば情報セキュリティシステムを確立することができ、さらにその高い水準を維持することができるのでしょうか。


 セキュリティ向上、業務の効率化を実現するための効果的な啓蒙活動方法、安価なITツールの効果的活用法、そしてシステム構築の試行錯誤から得た貴重なノウハウ、研究成果など今すぐ役立つ話題満載の実践的ISMS解説書です。


企業、大学など幅広い分野の情報担当者に広くお勧めします。 」


本書は、15章からなります。1ページが1項目の読み切りの形式になっています。最初に写真や概念図などの図表で概要がまとめられ、それに解説の本文が続くという構成になっています。好きな箇所から読み始めることができます。通勤・通学の途上で読む進めるのにも好適です。


1章では、「はじめに」として、用語の説明や本書の構成の紹介があります。2章が「ISMSの概説」として、情報が第4の経営資源という話題に始まり、情報のCIA(機密性、完全性、可用性)と基本方針、PDCAとプロセスアプローチ、ISMS規格のPDCA構成などが取り上げられています。


3章では、「身の回りからはじめるISMS」として、ISMSをはじめましょうから始まり心得、基本方針の作成に向けてなどのISMSの基本的な事項について分かり易く解説されています。


4章では、「物理境界のセキュリティ」として、スタンドアロン型入室管理システムから、TVカメラ監視装置までの物理境界のセキュリティについて、5章では、「リスクアセスメント」として、リスクアセンスメント手法の要求要件から、脅威レベルを推定する上での注意、リスクアセスメント手法の種類や考え方について、6章では、「マインドマップ」として、トニー・ブザンのマインドマップ手法をISMSに活用していく静岡大学式の手法について解説されています。


7章では、「その他のITツール」として、ワープロソフト、マインドマップソフト、電子掲示板システムなどのその他の活用されたツールについて解説。8章では、「内部監査(監査)」として、ISMS内部監査の概要から進め方、9章では、「マネジメントレビュー」として、それぞれの概要について解説しています。


10章では、「大学のISMS」として、大学における情報セキュリティの位置づけ、問題点、運用、ISMSの効能などを解説。11章では、「情報基盤とISMS」として、静岡大学の情報セキュリティセンターの活動の概要が解説されています。


12章では、「文書作成と管理」として、また13章では、「便利なワープロ基本機能」として、ISMSの文書管理手法として実施されたワープロの基本機能や活用手法について、ISMSマニュアル、手順書などの書き方から変更管理の手法など解説しています。


14章では、「ISMSに関する研究紹介」、15章では、「ISMS中長期戦略」として、大学でのISMS研究活動について解説しています。この二つの章では、リスクアセスメントの自動化手法など1ページの読み切り形式ではなく論文的な記載形式になっています。


ISO/IEC27001の認証に取り組まれる組織の関係者だけでなく、ISMSの分かり易い啓蒙書として情報セキュリティに関心があるビジネスパーソンにお奨めです


実践ISMS講座 情報セキュリティマネジメントと経営戦略
静岡学術出版
静岡大学ISMS研究会(著)八巻 直一(監修)
発売日:2007-12-21
発送時期:通常24時間以内に発送
ランキング:146581



なお本書の目次は、以下の内容です。
1. はじめに
2. ISMS概説
3. 身の回りからはじめるISMS
4. 物理境界のセキュリティ
5. リスクアセスメント
6. マインドマップ
7. その他のITツール
8. 内部監査(監査)
9. マネジメントレビュー
10. 大学のISMS
11. 情報基盤とISMS
12. 文書作成と管理
13. 便利なワープロ基本機能
14. ISMSに関する研究紹介
15. ISMS中長期戦略
16. 各種資料
17. 著者紹介及び謝辞







(広告)


ウインター・キャンペーン2008


アルク


にほんブログ村 本ブログへ



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

  ISO/IEC 27001:2005JSIQ27001:2006、情報セキュリティマネジメントシステム)について認証取得したソフトウェア会社がISO27001の社内体制の構築から、マニュアル、規定類、帳票様式のすべての文書実例までを公開し、そのポイントを解説している本を紹介します。

 これから認証取得を目指される組織関係者に、ISO 27001の取得プロセスをわかりやすく実例に基づき解説しています。

 本書は、最小限のスリムな文書数で認証取得を実現した会社の文書を公開し、実際にシステムを構築して文書類を作成するコツを参考例として提示しているものです

 またISMSの認証取得からPDCAのマネジメントサイクルを運用し継続的な改善の取組の最新のシステムが反映された実例集とのこと。

本書:「スリムに実現するISO27001完全実例集」です。

本書は、著者:村島 昭男 氏(株式会社ゼロソフト)にて、2007年7月にオーム社より発行されています。

前著の「スリムに実現するISMS完全実例集」のISO27001への改定に対応して内容を大幅に変更した位置づけとなっています。

著者は、「はしがき」の中で、同社がISO27001の認証取得したことによるメリットについて社外的(~ぁ砲伴卞眦(~)として以下のような点を上げています。

仝楜劼陵弋瓩離札ュリティ対策が、ISO27001の認証で軽減された

ISO27001認証取得企業としての社会的信頼を得た

ISO27001認証取得企業として営業が有利に運んだ


ISO27001認証取得企業としてホームページでPRできた

ゥ灰鵐廛薀ぅ▲鵐垢亮汰により各社員がプライドが持てるようになった

ζ常扱っている情報価値の再認識

Ь霾鷸饂困砲弔い堂礎祐僂療一化ができた

┘リアデスクの徹底による社内の整理整頓が進む

情報資産の取扱が均一化

情報のバックアップが整備され安心が増えた

業務上のセキュリティ要求事項に関わる契約への明確な対応

災害時の対策手順が確立し、安心した業務活動

事件、事項に繋がる「ウッカリハット」の事項の管理による未然防止の強化

人的セキュリティの管理策の強化に伴う安心

ISO9001とのマネジメントシステムとしての統合管理


また本書のマニュアル、規定類、帳票様式などの完全実例文書を収録したCD-ROMを株式会社ゼロソフトにて販売中とのことです。

本書は、3章から構成されています。

1章では、「ISMS取得プロセス
として、ISO27001の認証取得の意思決定をしてから、社内体制を構築し、マニュアルなどのISMSを構築し運用する、また内部監査から審査までのISMSの取得のプロセスを時系列的に解説しています。


2章では、「文書の構成と作成のポイント
として、ISMSの文書構成の体系から、特にISMSマニュアルの作成のポイント、さらに帳票作成上のポイントと、ISMSの運用上のコツなどを重点にISMS文書をどのように構成し、作成すればよいかといったポイントを株式会社ゼロソフトの事例を基に解説しています。

3章では、「文書実例
として、この章がISO27001のマニュアル等の文書類の実例が掲載され、本書の中核部分になります。この文書実例では、以下の文書を取り上げています。

  •  情報セキュリティマニュアル
  • 事業継続管理手順
  • 適用宣言書
  • 情報資産管理台帳
  • リスク対応計画書
  • 残留リスク一覧
  • 情報セキュリティルールブック
  • システム管理マニュアル
  • サーバ運用マニュアル

さらに帳票類としては、帳-01:「トラブル報告書」から帳-43:「ストレスチェックシート」までの43種類の帳票類が取り上げられています。


また付録(帳票記入例)として上記の43種類の全ての帳票の記入例が掲載されています。

スリムに実現するISO27001完全実例集
オーム社
村島 昭男(著)
発売日:2007-07
発送時期:通常24時間以内に発送
ランキング:154074

なお本書の目次は、以下の内容です。
1章 ISMS取得プロセス
1.1 取得決定
1.2 社内体制の確立
1.3 ISMSの構築
1.4 内部監査
1.5 審査
2章 文書の構成と作成のポイント
2.1 ISMSの文書構成
2.2 ISMSのマニュアル作成ポイント
2.3 帳票作成上のポイント
2.4 運用上のコツ
3章 文書実例
 情報セキュリティマニュアル
 事業継続管理手順
 適用宣言書
 情報資産管理台帳
 リスク対応計画書
 残留リスク一覧
 情報セキュリティルールブック
 システム管理マニュアル
 サーバ運用マニュアル
  帳票類
付録(帳票記入例)
帳01トラブル報告書/帳02セキュリティ連絡票 ほか

にほんブログ村 本ブログへ


(広告)

0708夏キャンその2

「おうちプリント」はデポで!

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

 JIPDEC(財団法人 日本情報処理開発協会)によると2007年7月13日現在のISMS情報セキュリティマネジメントシステムISO/IEC 27001:2005(JISQ27001:2006)規格:(Information technology −Security techniques−Information security management systems−Requirements:情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項))に基づく認証登録件数は、2253とのこと。

さらにこのISMSの認証取得に取り組み組織は、増加しつつあるとのことのようです。

 日本情報セキュリティ認証機構のスタッフがISMSをこれから構築しようという組織、或いは、既に構築し運用している組織の実務者をターゲットにして、ISO/IEC 27001:2005(JISQ27001:2006)規格について、その要求事項、さらに構築のポイント、 認証審査のポイントを分かり易く解説している本を紹介します。

本書:「実務者のための情報セキュリティマネジメントシステム」です。

JIS Q27001(ISO/IEC27001)規格徹底解説」との副題が付いています。

本書は、日本情報セキュリティ認証機構 による編纂にて、2007年4月に産経新聞出版より発行されています。

本書の帯には、以下のように書かれてあります。

ISMSの全てが分かる実践的解説

ISMSによるITガバナナンス構築の手引き


「情報セキュリティの確保は、政府が推進するuーJapan

戦略、 セキュアJAPAN構想において重要な柱ともなって

おり、安全安心なネットワーク社会の実現、セキュアで

安心感のある企業形成と持続性の確保のために経営者

が真剣に取り組むべきテーマである。」


本書は、本書の利用方法、はじめになどに続いて、1部から3部までの構成となっています。

また付録1:「ISMS規格について(ISO/IEC27001の概要、経緯、情報セキュリティの他のJIS規格、ISO/IEC27001及びその他のISMS規格などの動向など記載)」と付録2COBITISMSの関係、内部統制の土台としてのISMS(COBIT<Control Objectives for Information and related Technology>とISMSとの関係や比較、ISMSの内部統制への適用など記載)」が添付されています。

第1部では、「認証取得の前準備
として、なぜISMSの認証を取得するかの目的を確認することからシステム構築に失敗しないためのキーポイントからスケジューリングなどのポイント、更には、ISMS審査を受ける際の要点が解説されています。

第2部では、「JIS Q27001規格のポイント
として、JISQ27001:2006規格の序文から、8.3項の予防処置まで、とくに要求事項については、その要求事項その解説構築のポイント認証審査のポイントといった要領で詳細に解説しています。

第3部では、「附属書A管理目的及び管理策
として、JISQ27001:2006規格の附属書A管理目的及び管理策について、A5:セキュリティ基本方針、A.5.1:「セキュリティ基本方針」から、A15.3.2の情報システム監査ツールの保護までの管理目的及び管理策について、その解説、構築のポイント、認証審査のポイントといった要領で詳細に解説しています。

実務者のための情報セキュリティマネジメントシステム―JIS Q27001(ISO/IEC27001)規格徹底解説
産経新聞出版
日本情報セキュリティ認証機構(編さん)
発売日:2007-04
発送時期:通常2~3日以内に発送
ランキング:109426

なお本書の目次は、以下の内容です。
第1部 認証取得の前準備
ISMS認証取得の目的を確認する/システム構築に失敗しないポイント/ISMS審査を受ける際のポイント 
第2部 JIS Q27001規格のポイント
適用範囲/引用規格/用語及び定義/ 情報セキュリティマネジメントシステム ほか 第3部 附属書A管理目的及び管理策
セキュリティ基本方針/情報セキュリティのための組織/資産の管理 ほか
付録1 ISMS規格について
付録2 COBITとISMSの関係 内部統制の土台としてのISMS

にほんブログ村 本ブログへ


(広告)

Adobe Acrobat Professional 8

LicenseOnline Adobe製品ストア

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

   情報セキュリティに関わる責任者、担当者に向けて、情報セキュリティの組織と体制づくりから展開し、セキュリティポリシーのつくり方、情報の管理、リスクマネジメント、技術的対策の基本、導入と運用のポイント、脆弱性検査、セキュリティ評価などの基本的な事項をわかりやすく解説しているまさに情報セキュリティ対策の「教科書」、「ハンドブック」として最適な本を紹介します。

本書:「情報セキュリティ教本」です。

組織の情報セキュリティ対策実践の手引き」ならびに「Handbook for CISO and information Security Proffesionals」との副題が付いています。

本書は、独立行政法人 情報処理推進機構(IPA) による著作ならびに土居 範久先生の監修にて2007年4月に実教出版株式会社より発行されています。

本書は、2007-02-15のこちらのブログでも紹介した「情報セキュリティ読本」の姉妹本になります。

本書の帯には、以下のように書かれてあります。

官・民の英知を集大成した

情報セキュリティガイドの決定版

  • 企業、学校、行政機関、各種団体等の情報セキュリティ
    対策の担当者、責任者の方を対象に、組織の情報セキュ
    リティ対策を具体的に、分かりたすく解説しました

  • 情報セキュリティに関わる主要な基準・対策を網羅し
    ました

  • 情報セキュリティ担当者、責任者のテキストとして、また
    ハンドブックとして最適です


また「情報セキュリティ教本の発刊によせて」のなかで、監修者は、情報セキュリティ対策と本書の考え方について以下のように述べています。

「誰もが感じていると思うが、どんな組織でも情報セキュリティ対策の実施は本当に難しい。なぜこれほど難しいのか。答は簡単だ。情報セキュリティ対策では、かなり複雑な問題を合理的に解く必要があるからだ

(略)

しかし、情報セキュリティ対策が難しいといっても、もはや逃げ出すことはできない。基盤化した情報システムを何もせずに放置することは許されない状況にある。私たちは、組織として情報セキュリティ対策の実施能力を高める必要がある。それには一体何をしたらよいのだろうか

一つ目は、事実に真正面から向き合う勇気を持つことだ。具体的には、情報システムを取り巻く状況を的確に理解することである。これは一般にリスクアセスメントの実施、情報資産の棚卸し、ユーザとシステムの把握などを通して行われる。

(略)

二つ目には、良いものを学び、良さを吟味する力を持つことだ。情報セキュリティ対策では、組織ごとに組織に合わせた形で設計、実装することが求められる。

(略)

三つ目が、創意工夫に溢れた対策を徹底して考えることだ。情報セキュリティ対策を実施していくと、対策自身を目的化してしまい、過度に規制するような対策を実施してしまうことがよく見られる。

(略)

組織として情報セキュリティ対策をどのように行えばよいかを、Plan−Do−Check−ActというPDCAサイクルに沿って、さまざまな事例を交えながら、具体的にわかりやすく解説する。」

本書の説明は、PDCAサイクルに沿って進んでいく構成となっています。本書で取り上げられている情報セキュリティの管理策は、基本的には、政府機関統一基準をベースとし、加えて、ISO/IEC27000シリーズ等の国際標準やその他のガイドライン、IPAのホームページ上に数多く掲載されている対策実践情報などをも参照した内容となっています。さらに法令順守の観点からどのようなセキュリティ対策を行なえば良いかという点にも触れています。

本書は、12章から構成されています。

1章では、「はじめに
として、IT社会の中で種々の脅威が増大し、情報セキュリティの取組みが重要になっていること、情報セキュリティに関するガイドラインや基準を外観し、本書の使い方を提示し、緊急事態発生!として4つの情報漏洩等の事例(フィクション)が紹介され、情報セキュリティの基本的な考え方(3要素)から情報セキュリティマネジメントシステム(ISMS)とPDCAサイクルなどが解説されます。

2章では、「情報セキュリティの組織
として情報セキュリティの組織と体制づくりについてそのポイントや経営者の役割、推進体制、違反と例外処置などが解説されています。

3章では、「情報セキュリティポリシーのつくり方
として、情報セキュリティポリシーに関する文書類の基本方針(ポリシー)、対策基準(スタンダード)、実施手順(プロシージャー)、ガイドラインと実施手順などの解説に続き、情報セキュリティ基本方針、情報セキュリティ対策基準、情報セキュリティ実施手順についての詳細な策定要領を解説し、最後に情報セキュリティポリシー策定のポイントについて総括しています。

4章では、「情報の分類と管理
として、情報資産の洗い出しと管理責任者の決定について情報資産の洗い出しの手順、情報資産のグループ分け、情報資産管理台帳、、情報の管理責任者などを解説し、情報資産の分類と格付け、情報のライフサイクルとその取扱い(情報の管理)について詳細に解説しています。最後に情報の分類と管理のポイントをまとめています。

5章では、「リスクマネジメント
としてJISQ13335-1:2006による情報セキュリティにおけるリスクの定義、さらにJIS TR Q0008:2003のリスクマネジメント用語の解説、JISQ2001:2001のリスクマネジメントシステムの概念などが解説され、上記の規格に加え、GMITS(JIS TR X 0036)、、MICTS、ISO27000シリーズなどの関連規格に触れています。次いでリスクアセスメントに関して、情報資産価値の評価、脅威(threat)、脆弱性(vulnerability)、リスクの算定、リスク評価について解説し、GMITSに見るリスク分析手法、リスク対応(リスクの低減(適切な管理策の採用)、リスクの保有、リスクの回避、リスクの移転、リスクの受容、リスクコミュニケーション、リスクマネジメントの記録)、ISMSユーザーズガイドならびに政府機関統一基準ばらびにNISTガイドラインによるリスクマネジメントの例が解説されます。最後にリスクマネジメントのポイントをまとめています。

6章では、「技術的対策の基本
として、「主体認証」、「アクセス制御」、「権限管理」、「証跡管理(ログの管理)」、「暗号と電子署名」、「パソコン上のデータ保護」、「セキュリティホール対策(脆弱性対策)」、「不正プログラム対策」、「サービス不能攻撃対策(DoS/DDoS攻撃対策)」について政府機関統一基準第4部に基づく管理策をベースとして解説されています。

7章では、「セキュリティ製品とセキュリティサービス
として、情報セキュリティ対策を進める上で、代表的なセキュリティ製品やセキュリティサービスについて解説しています。
『ネットワークセキュリティ製品』では、
ファイアウォール、WAF(Webアプリケーションファイアウォール)、IDS(侵入検知システム)とIPS(侵入防止システム)、VPN(Virtual Private Network)、検疫システムについて、
『認証製品』では、
PKI関連製品、認証サーバ、ワンタイムパスワード、ICカード/スマートカード、バイオメトリック認証(Biometric Authentication)、シングルサインオン(Single Sign-On)について、
『データセキュリティ関連製品』では、情報漏えい防止ソリューション、メールセキュリティ、
『ウイルスなどの不正プログラム、スパム、フィッシング゙対策』では、
ウイルス対策ソフトウェア、スパイウェア対策ソフトウェア、スパムフィルタリングソフトウェア、フィッシング対策ソフトウェアについて
『その他』では、
UTM(Unified Threat Management:統合脅威管理)、コンテンツフィルタリングソフトウェア、完全性チェックツール、フォレンジックツールについて、
『セキュリティサービス』では、
コンサルティングサービス、セキュリティ教育など、セキュリティ監視、検知、運用管理サービス、電子認証サービス、タイムスタンプサービスについて解説されています。


8章では、「導入と運用
として、情報セキュリティポリシーの周知と徹底、従業員の管理と外部委託先の管理、事業継続管理、緊急時対応、インシデント対応、情報システムの導入と運用など情報セキュリティシステムの導入と運用のポイントについて解説されています。


9章では、「セキュリティ監視と侵入検知
として、情報システムに対する不正な行為や不正アクセスを促す、情報システムに存在するセキュリティ上の問題点を明らかにする手法として、セキュリティ監視、脆弱性検査、侵入検知の概要とそのポイントが解説されています。


10章では、「セキュリティ評価
として、ISMSの適合性評価、情報セキュリティ監査、情報セキュリティ対策ベンチマーク、ITセキュリティ評価及び認証などのセキュリティ評価についてその概要ならびに実施方法等について解説しています。


11章では、「見直しと改善
として、定期的な見直し、環境の変化に伴う見直し、セキュリティ事件・事故の発生に伴う見直しについての手順の概要とそのポイントについて解説しています。


12章では、「法令遵守
として、情報化関連法令集のサイトを紹介し、刑法、著作権法、不正アクセス禁止法、個人情報の保護に関する法律(個人情報保護法)、不正競争防止法、e-文書法などの概要について解説しています。

情報セキュリティ教本―組織の情報セキュリティ対策実践の手引き
実教出版
情報処理推進機構(著)
発売日:2007-04
発送時期:通常24時間以内に発送
ランキング:27277

にほんブログ村 本ブログへ

「ISOの本棚」ページのトップへ!

read more



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

  大日本印刷は、12日、ダイレクトメールの印刷などのため顧客企業43社から預かっていた個人情報約863万7000件が流出したと発表しています。

業務委託先の元社員が不正に持ち出したとのことで、個人情報の流出としては、過去最大規模になります。

 今回流出した個人情報の中には、得意先が過去に流出を公表している事案のデータと一致するものが含まれており、これらの事案については、すでにそれぞれの得意先により安全対策が完了しているということのようです。

どうやら、持ち出されたデータは、捜査の過程ですべて押収されていて、第三者に渡った可能性は、確認されていないとのことです。

  このような企業の情報資産の情報セキュリティを維持するため、機密性、可用性、完全性の確保が重要な要素となっており、それを確実にする手段として情報セキュリティマネジメントシステム(以降ISMSと略)の導入が進みつつあります

 本日は、情報セキュリティ分野の規格のエキスパートがISMSの国際標準規格のISO/IEC17799:2005(JISQ27002:2006)規格について詳しく解説している本を紹介します。

本書:「ISO/IEC 17799:2005(JIS Q 27002:2006)詳解情報セキュリティマネジメントシステム−要求事項」です。

本書は、中尾 康二氏、中野 初美氏、平野 芳行氏、吉田 健一郎氏の共著にて2007年3月に日本規格協会より発行されています。

本書は、第三者認証のための要求事項規格のISO/IEC 27001:2005(JIS Q 27001:2006)についての既刊の解説書:『ISO/IEC 27001:2005(JIS Q 27001:2006)詳解 情報セキュリティマネジメントシステム−要求事項』と併用して活用できるように構成されています。

本書の帯には、以下のように書かれてあります。

「情報関連規格のエキスパートが

明解にする!

ISO/IEC 17799:2005(JIS Q 27002:2006)・

情報セキュリティマネジメントシステム(ISMS)

正しい理解、構築に欠かせない一冊!」

本書の「まえがき」で著者は、本書の目的などについて以下のように述べています。

 企業において情報セキュリティを維持するためには、機密性、完全性、可用性の確保が重要な要素となっており、その実現の手段として、情報セキュリティマネジメントシステム(ISMS)の導入が行われてきた

 このためのベストプラクティスの標準としてISO/IEC 17799:2000(JIS X 5080:2002)が使われてきた。この規格は、改訂が行われて第2版が2005年に発行された。

 また、この規格は、2007年にはISO/IEC 27002に国際規格番号が変更される予定であり、JIS化の際にその番号を先取りJIS Q 27002:2006として2006年5月20日に制定された。

また、第三者認証の基準となる要求事項の規格化も行われ、2005年10月にISO/IEC 27001:2005として、さらに翻訳JISは、JIS Q 27001:2006としてJIS Q 27002:2006と同時に制定されている。

本書では、このJIS Q 27002:2006:「情報セキュリティマネジメントの実践のための規範」について、以下の内容について解説することを目的としている。

  1. ISO/IEC 17799:2005及び対応するJIS Q 27002の改訂・制定の経緯

  2. 規格制定及び改正の意図を理解するための指針

  3. 規格で使われている用語及び訳語

  4. 規格の正確な理解のための解説

  5. 規格の利用のためのポイント

  6. ISMS関連規格の最新動向

本書は、2部から構成されています。

第1部では、「改訂の経緯と概要」として、情報セキュリティマネジメントの必要性、情報セキュリティマネジメントガイドラインの国際規格化の制定経緯、ISO/IEC JTC 1/SC27の役割及び分担、ISO/IEC 27000シリーズの概説などの概要が解説されています。

第2部では、「要求事項の解説」として、最初に情報セキュリティの基本及びこの規格の位置付けが解説され、次いで適用範囲、用語及び定義、に続いて4項「リスクアセスメント及びリスク対応」から15項「順守」までの管理策と実施の手引きについて『概要』、『旧JISからの変更』について詳しく解説しています。

 『ISO/IEC 27001:2005(JIS Q 27001:2006)詳解 情報セキュリティマネジメントシステム−要求事項』と併せて、情報セキュリティマネジメントシステム(ISMS)の正しい理解及びその構築と運用には、欠かせない1冊だと思います

ISO/IEC17799:2005(JIS Q27002:2
日本規格協会
中尾 康ニ(著)
発売日:2007-03
発送時期:通常24時間以内に発送
ランキング:62188

なお本書の目次は、以下の内容です。
 第1部 改訂の経緯と概要
1. 情報セキュリティマネジメントの必要性
2. 情報セキュリティマネジメントガイドラインの国際規格化の制定経緯
3. ISO/IEC JTC1/SC27の役割及び分担
4. ISO/IEC 27000シリーズの概説
5. JIS Q 27002の制定の経緯及び旧JIS X5080との差異
 第2部 要求事項の解説
0. 情報セキュリティの基本及びこの規格の位置付け
1. 適用範囲
2. 用語及び定義
3. 規格の構成
4. リスクアセスメント及びリスク対応
5. セキュリティ基本方針
6. 情報セキュリティのための組織
7. 資産の管理
8. 人的資源のセキュリティ
9. 物理的及び環境的セキュリティ
10. 通信及び運用管理
11. アクセス制御
12. 情報システムの取得,開発及び保守
13. 情報セキュリティインシデントの管理
14. 事業継続管理
15. 順 守

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

ISO/IEC 27001:2005JIS Q 27001:2006)規格の1.1 「適用範囲: 一般」には、以下のことが書かれてあります。

「この規格は,あらゆる形態の組織(例えば,営利企業,政府機関,非営利団体)を対象にする。この規格は,その組織の事業リスク全般に対する考慮のもとで,文書化した ISMS(Information security management」system)を確立,導入,運用,監視,レビュー,維持及び改善するための要求事項について規定する。この規格は,それぞれの組織又はその組織の一部が,そのニーズに応じて調整したセキュリティ管理策を導入する際の要求事項について規定する。

このISMS は,情報資産を保護し,また,利害関係者に信頼を与える,十分で,かつ,均整のとれたセキュリティ管理策の選択を確実にするために設計される。」

現在までにISMSの認証を取得した組織数は、1,768組織(2006-9-29現在JIPDECデータ)となっています。

 このようにISMSに関わるニーズが強くなってきていますが、ISMSに取り組む組織の人にとって、例えば、JIS Q 27001:2006規格の4.2.2 d)に代表される「管理策の有効性の測定」などリスクが受容できるレベルまで低減していることを確認することと理解したとしても、本件も含むガイドライン規格のISO/IEC 27004(Information security management measurements)も提示されていない状況でどのように進めるかがわかり難い内容を含んだシステムになっています。

本日は,ISO27000シリーズの標準化を進めるISO/IEC JTC1(情報技術)/SC 27(セキュリティ技術)のWG1(要求事項、セキュリティのサービス及びガイドライン)の委員で同規格のJIS化の委員でもある著者がISO/IEC 27001:2005JIS Q 27001:2006)「情報セキュリティマネジメントシステム-要求事項」規格について詳しく解説している書籍を紹介します。

本書:「ISO/IEC 27001:2005(JIS Q 27001:2006)
詳解 情報セキュリティマネジメントシステム−要求事項
」です。

本書は、平野 芳行氏ならびに吉田 健一郎氏の共著で、2006年9月に日本規格協会から発行されています。

本書の帯には、以下の通り書かれてあります。

「規格制定のエキスパートが実務の勘所を明らかにする。

情報セキュリティマネジメントシステムの構築に必要不可欠な一冊!」

本書の「はじめに」の項で、以下のことが書かれてあります。

「本書は、このJIS Q 27001について、以下の内容について解説することを目的としている。

(1) 国際標準及び対応JISの制定の経緯
(2) この規格制定の意図を理解するための指針
(3) 規格で使われている用語及び訳語
(4) この規格本文の要求事項の解説
(5) 付属書A(規定)(JIS Q 27002)の管理目的及び管理策の概要
(6) この規格の利用のためのポイント
(7) 今後のISMS関連規格の動向

本書では、JIS Q 27001に記載されている要求事項を規格本文とISMS認証基準Ver2.0とを比較して正確に把握できるよう記述したつもりである。

さらにこの規格は、JIS Q 27002:2006 「情報セキュリティマネジメントシステム実践のための規範」というガイドブックとともに使用することが容易なように構成されている。」

ISO/IEC 27001:2005〈JIS Q 27001:2006〉詳解情報セキュリティマネジメントシステム-要求事項
日本規格協会
発売日:2006-09
発送時期:通常24時間以内に発送
ランキング:67037

本書は、情報セキュリティマネジメントシステムに取り組む組織にとって要求事項の深い理解のために必要不可欠な一冊かと思われます。

本書の全体像は、これまでの説明と目次から把握できるかと思われますが、第6章については、8つのQ&Aの形式でISMSの導入・運用のポイントを解説しています。

なお本書の目次は、以下の内容です。
第1章 ISO/IEC 27001(JIS Q 27001)の制定の概要
1.1 ISO/IEC 27001の制定及びその経緯
1.2 ISO/IEC 27001の制定の要点
1.3 ISO/IEC 27001の制定の成果
1.4 ISO/IEC 27001のJIS化
第2章 この規格の理解のために
2.1 JIS Q 27002との関係
2.2 この規格の様式
2.3 マネジメントシステムの概念
2.4 他のマネジメントシステム規格との関係
第3章 用語及び訳語
3.1 用語の定義
3.2 用語に関する注記
3.3 片仮名書きの使用
3.4 動詞関係の訳語
3.5 動詞以外の訳の選択
3.6 JIS Q 27002:2006で定義された用語
3.7 リスクマネジメント関係の用語
第4章 要求事項の解説
4. 情報セキュリティマネジメントシステム
5. 経営陣の責任
6. ISMS内部監査
7. ISMSのマネジメントレビュー
8. ISMSの改善
第5章 附属書A(規定) 管理目的及び管理策の概要
A.5 セキュリティ基本方針
A.6 情報セキュリティのための組織
A.7 資産の管理
A.8 人的資源のセキュリティ
A.9 物理的及び環境的セキュリティ
A.10 通信及び運用管理
A.11 アクセス制御
A.12 情報システムの取得,開発及び保守
A.13 情報セキュリティインシデントの管理
A.14 事業継続管理
A.15 順守
第6章 この規格の利用のポイント
第7章 情報セキュリティマネジメントシステム(ISMS)関連の標準化の動向
付録 附属書Aの対比表


(広告)

お買い得は見逃せない!毎週更新スペシャルセールコーナー登場。定期チェックは必須!!

オフィス・デポ ジャパン

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

ISO27001:2005(「情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項」)の総括的な入門書を紹介します。

本書「図解 ISO27001早わかり」です。

本書は、安達 祐哉氏著、白潟 敏朗氏編著で先週(5/11)に中経出版 より発行されています。


 「2時間でわかる」の他のシリーズと同様にイラストが多用され、内容的にシンプルに整理され読みやすい内容となっています。こちらのブログでも4/20に紹介した「図解ISO17799/ISMS早わかり」ISO/IEC 27001:2005規格への対応改訂版となっています。

本書の「はじめに」で記載されているポイントによれば、

  • シンプルな要求事項解釈とマニュアル・記録
  • ISO27001を経営のツールとして活用
  • 良い審査員を選ぶ
  • よいコンサルタントを選ぶこと


が成功のポイントとして、上記の点について重点化され詳細な解説が行われています。


またISO27001:2005規格要求事項の解説の部分について、

  1. ISMSの認証基準(Ver2.0)ではどの要求事項に対応するかについて対応するISMS要求事項番号がマーキング表示されています。
  2. 同じくISMSの認証基準(Ver2.0)との違いにつて「大きい」「やや大きい」「小さい」の三段階での表示がされています。
  3. 難易度マークとして、一般的に難易度について「やさしい」「ふつう」「むずかしい」の三段階の表示がされています。

またISO27001:2005付属書Aの「管理目的及び管理策」について解説し、

  • 要求事項の難易度(「かんたん」「ふつう」「むずかしい」で表示)
  • 文書化・記録化の要求(「なし」「必須ではないが推奨」「ほぼ必須」
  • セキュリティツールの必要性(「なし」「使用しても良い」「ツール使用ほぼ必須」
    で表示しています。


 なお余談ですが上記付属書Aの「管理目的及び管理策」は、ISO/IEC17799:2005の管理策(すなわちJISQ27002:2006情報技術-セキュリティ技術-マネジメント実践のための規範」)の規格箇条(5項から15項まで)と同じでISO/IEC17799:2005においては、管理策について実施の手引きと関連情報で管理策の内容について詳細に説明していますので管理策の実施に当たっては、ISO/IEC17799:2005の管理策を参照されると役立ちます。

ISO27001に関心をもっておられる経営者や管理者およびスタッフには、ISO27001について全貌を概観し理解するのに本書は、役立つと思います。

図解 ISO27001早わかり 図解 ISO27001早わかり
白潟 敏朗 安達 祐哉

中経出版 2006-05-11
売り上げランキング :

Amazonで詳しく見る
by G-Tools

本書の目次は、以下の内容です。
はじめに
第1章 今なぜISO27001なのか
第2章 ISO27001の基本を理解する
第3章 ここで成否が決まる!規格の要求事項はこう解釈する   
第4章 迷惑な規格解釈例
第5章 認証取得のための推進ノウハウ
第6章 成功事例に学ぼう


(広告)

特定路線のANA世紀割引航空券「エコ割」がANA SKY WEBでお求めいただけるとさらに割引に!

ANAエコ割_あなたらしい旅しませんか?_125*125

「ISOの本棚」ページのトップへ!





RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

Google 翻訳
Categories
運営者情報
track word
Profile
旅行なら
<

簡単検索
全国のホテルをあなた
好みで検索できます。
■日程
チェックイン
チェックアウト

■1部屋あたりのご利用人数
大人
小学校高学年
小学校低学年
幼児
(食事・布団付)
幼児(食事のみ)
幼児(布団のみ)
幼児
(食事・布団不要)

■部屋数 部屋

■宿泊料金の範囲
■地域を選択する
  
QRコード
QRコード
あわせて読みたい
あわせて読みたいブログパーツ
RSS


【このページをRSSリーダーに登録する!】
Googleに追加
My Yahoo!に追加
livedoor Readerに追加
はてなRSSに追加
goo RSSリーダーに追加
Bloglinesに追加
Technoratiに追加
PAIPOREADERに追加
newsgatorに追加
feedpathに追加

track feed ISOの本棚

  • seo