情報セキュリティマネジメントシステムの国際認証規格であるISO/IEC27001:2005(JIS Q 27001:2006)が発行され,それに関連する書籍も相次いで発行されてきています。

ISO/IEC27001:2005(JIS Q 27001:2006)規格の要求事項の分かり易い解説書が発行されていますので紹介します。

本書:「ISO27001規格要求事項の解説とその実務」です。
情報セキュリティマネジメントの国際認証制度への対応 」との副題がつけられてあります。

本書は、島田 裕次氏、榎木 千昭氏、澤田 智輝氏、内山 公雄氏、五井 孝氏の共著で、日科技連出版社より、2006年7月に発行されています。

本書は、2002年に出版の「ISMS認証基準と適合性評価の解説」を基に、ISO/IEC27001:2005(JIS Q 27001:2006)規格に対応し、新たなICT(情報通信技術)、情報セキュリティ技術、情報セキュリティ監査に対する変化や今後の動向をふまえて、全般的に改訂されたとのことであります。

抽象的に表現されているISO/IEC27001:2005(JIS Q 27001:2006)規格の要求事項を具体的な例をあげて実務的に分かり易く解説しています。またISMS認証基準とISOとの違いも説明されています。

例えば、6項「ISMS内部監査」では、最初に
6 ISMS 内部監査
組織は,そのISMS の管理目的,管理策,プロセス及び手順について,次の事項を判断するために,あらかじめ定めた間隔でISMS 内部監査を実施しなければならない。
(途中略)
監査された領域に責任をもつ管理者は,発見された不適合及びその原因を除去するために遅滞なく処置がとられることを確実にしなければならない。フォローアップには,とった処置の検証及び検証結果の報告を含めなければならない(箇条8 参照)。
注記 JIS Q 19011:2003 は,ISMS 内部監査の実施のための有益な手引となる場合がある。」

がブロックに取り上げられてあります。
次いで、

  1.  ISMS内部監査の特徴
  2.  監査の整備
  3.  監査員とISMS担当者の違い
  4.  監査プログラム(監査チェクリスト)の活用

というような内容で、数点の解説図表、イラストを交えて、5頁にわたり、解説させています。

また付属書Aの「管理目的及び管理策」の解説においても、例えば、A 10.4「悪意あるコード及びモバイルコードからの保護」について。
付属書A 10.4項の目的とA 10.4.1「悪意のあるコードに対する管理策」とA 10.4.2「モバイルコードによる管理策」が最初に記載され、次いで

  1.  悪意あるコードに対する対策
  2.  モバイルコード

について図表を交えて解説されるというスタイルが採られています。

なお本書の裏表紙の部分には、情報セキュリティの重要性が増す昨今、認証を取得するか否かに関わらず、組織の情報セキュリティマネジメントシステムの役立つ内容に構成されていると書かれてあります。

ISO27001規格要求事項の解説とその実務―情報セキュリティマネジメントの国際認証制度への対応
日科技連出版社
島田 裕次(著)澤田 智輝(著)五井 孝(著)榎木 千昭(著)内山 公雄(著)
発売日:2006-07
発送時期:通常1~2週間以内に発送
ランキング:62774

なお本書の目次は、以下の内容です。
第1章 情報セキュリティマネジメントシステムの意義と概要
第2章 情報セキュリティマネジメントの国際規格と認証制度
第3章 用語及び定義
第4章 情報セキュリティマネジメントシステム
第5章 経営陣の責任
第6章 ISMS内部監査
第7章 ISMSのマネジメントレビュー
第8章 ISMSの改善
第9章 「管理目的及び管理策」の解説


(広告)

[エコ割] 7月21日~8月31日の空席状況

ANA 国際線航空券

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

JISQ27001が制定されて以降、相次いでISO27001に関する本が出版されています。

これまでのISO27001に関する書籍は、確かにコンサルタントによる本がほとんどであったかと思いますが、審査登録機関のISMS審査員が書いたことを特徴とする本が出版されましたので紹介します。

本書:「審査員が教えるISO27001情報セキュリティマネジメントシステム実践導入マニュアル」です。

本書は、日本能率協会の審査登録センターの審査員が執筆し、日本能率協会マネジメントセンターから本年の7月に発行されています。

 執筆者によると、これまでのISMSに関する著作は、コンサルタント側が多く、コンサルタント側の発言は、自由度が高く、コンサルタントは、常に受審組織の味方であることの旗色を鮮明にできるのに対して、審査機関は、受審組織から独立した中立の存在なので、必要な場合は、「不適合」も出すし、受審組織の経営者に苦言を呈する場合もある。

それで発言も少なくなっているとのことです。

またこの規格の利用者として、認証取得を目指す組織だけでなく、市場の一般ユーザーも含まれるとの観点から、最終顧客の視点からもISMSを取り上げているとのことが強調されています。

本書は、あくまで、審査員の立場から原則的な規格の解釈に基づいて,ISMSの構築から、認証に向けての運用等記載したものとのことであります

審査員が教えるISO27001情報セキュリティマネジメントシステム実践導入マニュアル
日本能率協会マネジメントセンター
発売日:2006-07
発送時期:通常2~3日以内に発送
ランキング:5636


少し余談になりますが、「コンサルタントは」とか、「審査員は」、とかありますが、要は、その人物次第ではないでしょうか。

コンサルタントは、審査員と比較すると組織の中の現場を知る密度が圧倒的に濃いと思います。

組織に迎合するコンサルタントばかりでなく、受審組織の経営者にも苦言を呈し、規格について原理的な解釈に基づき対応される立派なコンサルタントも多くおられます。またその逆の審査員もいるように思います。

私は、むしろ審査員には、審査員となる以前にコンサルタントとして幾つかの組織でシステム構築を実施してきたキャリアを持っていることが重要ではないかと思っています。 より適切な適合性審査ができるかと思います。

本書の構成は、4つの章から成っています。

第1章では、「ISMSISO27001)の必要性」と「情報セキュリティ対策制度とISMS」としてISO27001の概要が説明されています。この中で個人情報保護法や個人情報保護マネジメントシステムについても少し、触れられてあります。

第2章、第3章が本論になります。
第2章では、「JISQ27001:2006」の本文(0.1序文から8.3予防処置まで)が解説されています。
第3章では、付属書A(管理目的及び管理策)についての解釈と留意点が解説されています。


第2章、第3章では、

  1. 規格本文
  2. 解釈と留意点
  3. 審査員の目:注意すべきポイント

のようなスタイルで説明されています。この内容について、管理策の実施の手引き等を解説しているJISQ27002:2006の記載と対比してみるとJISQ27002よりは、コンパクトに要領よくまとめられており分り易く作成されていると思います。

第4章では、「・情報処理業、・病院、・介護施設、・ホテル、・印刷業、・学校と教育機関、・コンサルティング業、・人材派遣業、・税理士と会計事務所」についての適用の考え方を示してあります。

本書の表紙には、2006年のPマークJIS改正にも対応とありますが、改正規格(JISQ15001:2006)の内容の詳細を説明しているものではありません。

なお本書の目次は、以下の内容となっています。
第1章 ISMS(ISO27001)の必要性と規格のあらまし  
1.ISMS(ISO27001)の必要性
2.わが国における情報セキュリティ対策制度とISMS
第2章 JISQ27001 : 2006の解釈と審査員の目
0 序文
1 適用範囲
2 引用規格
3 用語及び定義
4 情報セキュリティマネジメントシステム
5 経営陣の責任
6 ISMS内部監査
7 ISMSのマネジメントレビュー
8 ISMSの改善
第3章 附属書A「管理目的及び詳細管理策」の解釈と審査員の目
A.5 セキュリティ基本方針
A.6 情報セキュリティのための組織
A.7 資産の管理/A.8 人的資源のセキュリティ
A.9 物理的及び環境的セキュリティ
A.10 通信及び運用管理/A.11 アクセス制御
A.12 情報システムの取得、開発及び保守
A.13 情報セキュリティインデントの管理
A.14 事業継続管理
A.15 順守
第4章 主な業種(分野)での適用のあり方
1 ISMSが適用される主な業種(分野)
2 情報処理業
3 病院介護施設
4 ホテル
5 印刷業
6 学校、教育機関
7 コンサルティング業
8 人材派遣業
9 税理士、会計事務所


(広告)

トレンドマイクロ ソフト

ウイルスバスターライセンスセンター

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

ISO/IEC 27001JIS Q 27001)にこれから初めて触れてみようという方、情報セキュリティマネジメントシステムについて今から勉強をしてみたいという方に分り易く書かれた入門書を紹介します。

本書:「ISO/IEC 27001(JIS Q 27001)情報セキュリティマネジメント」です。

著者は、高取 敏夫氏ならびに竹田 栄作氏で、今週、日本規格協会から発行されています。

緑色のカバ-の外装でA5サイズで統一されている同社の「やさしいシリーズ17」になります。

本書の構成は、他のシリーズと同様です。すなわち、第1章にISO/IEC 27001規格についての全体像を理解するためのQ&Aがあります。

ここでは、例えば、

Q1 ISO/IEC 27001は、何について規定している規格のことでしょうか?
Q2 ISO/IEC 27001の認証を取得するとは、どんな意味ですか?
 (中略)

Q16 ISO/IEC 27001を導入すれば,企業にとっての情報セキュリティ管理は万全といえるのでしょうか?
Q17 ISO/IEC 27001及び他の情報セキュリティにかかわる規格の今後の動向を教えてください。

のような質問に対する回答を通してざっとISO/IEC 27001規格についての全体像を鳥瞰してみる流れとなっています。

さらに以降の2,3,4,5章を通して詳しく補完するといった構成をとっています。

とくに第4章では、規格の要求事項部分について,規格の内容の説明とどのように審査に向けて対応すべきかについて分り易く解説しています。

ISO/IEC27001(JISQ27001)について、最初に読む本として良書であると思います。

またISO/IEC27001(JISQ27001)について推進事務局等の立場にあって、すでに詳しい人がこの本を参考にして、抜粋されて社内教育用の資料など作成する上でも役立つと思われます。

ISO/IEC 27001〈JIS Q 27001〉情報セキュリティマネジメント
日本規格協会
発売日:2006-06
発送時期:通常24時間以内に発送
ランキング:33664

なお本書の目次は、以下の内容です。
はじめに
第1章 ISO/IEC 27001を知るための17のQ&A
 Q1 ISO/IEC 27001は、何について規定している規格のことでしょうか?
 (中略)
  Q17 ISO/IEC 27001及び他の情報セキュリティにかかわる規格の今後の動向を教えてください。
第2章 ISO/IEC 27001って何だろう
 2.1 ISO/IEC 27001の誕生
 2.2 ISO/IEC 27001の制定の経緯
 2.3 ISO/IEC 27001の構成と概要
 2.4 ISO/IEC 27001要求事項の概要
 2.5 情報セキュリティに関する規格の国際的な動き
第3章 ISO/IEC 27001と認証制度のかかわり
 3.1 ISMS適合性評価制度とは何か
 3.2 審査登録制度の概要
 3.3 ISMS制度とISO/IEC 27001
第4章 ISO/IEC 27001(JIS Q 27001)ってどんな規格だろう
 4.1 ISO/IEC 27001(JIS Q 27001)の構成
 4.2 ISO/IEC 27001(JIS Q 27001)の内容
第5章 企業や団体はどう対応したらよいのか
 5.1 ISO/IEC 27001を導入する前に
 5.2 適切な導入のために
参考1 ISO/IEC JTC1/SC 27 WG 1の構成
参考2 ISO/IEC 27000シリーズ規格一覧
参考3 世界のISMS認証登録件数
参考4 国内のISMS審査登録機関



●なおJIS Q 27001:2006とISMS認証基準(Ver2.0)についての公式な比較表が発行されています。
(JIPDECと日本規格協会の共同)1575円+送料400円。
(財)日本情報処理協会(JIPDEC)のこちらの(  「JIS Q 27001:2006とISMS認証基準(Ver2.0)比較表を発行」)サイトで注文を受け付けています。

●またJIPDECが審査登録機関の認定料金を値下げするとの発表(「ISMS審査登録機関の認定に関わる料金の改訂について)をしています。

●またJAB((財)日本適合性認定協会)も「情報セキュリティマネジメントシステム(ISMS)認定・審査登録スキーム説明会」で7月から開始するISO/IEC27001(JISQ27001)についての認証登録の申請料金は,ISO9001の審査登録機関であれば拡大料金程度との説明をしています。

上記のような競争が今後、どのように推移するか注目されます。


(広告)

ウイルス バスター コーポレート エディション

ウイルスバスターライセンスセンター

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

ISO27001(JISQ27001)やJISQ15001などのISMS情報セキュリティマネジメントシステム)に関わるリスクアセスメントの手法を詳しく解説している本を紹介します。

(なお余談になりますが、この”ISMS”は、JIPDEC(日本情報処理開発協会)が商標登録しているとのことで、JISQ27001:2006の解説の中の記載で初めて知りました。但しこの規格を活用する人に登録商標の許諾を得ることを求めない旨の声明書が掲載されています。JIPDECは、ほかにも“ISMS 制度”,“ISMS 適合性評価制度”,“ISMS 認証基準”,“ISMS認定基準”の商標権を取得しているとのことです。)

本書:「情報セキュリティのためのリスク分析・評価」です。「官公庁、金融機関、一般企業におけるリスク分析・評価の実践 」との副題が付いています。

畠中 伸敏氏、折原 秀博 氏, 相沢 健実氏, 羽生田 和正 氏, 伊藤 重隆 氏で2004年7月に日科技連出版社より、情報セキュリティライブラリのシリーズとして発行されています。

ISMSに関わる取り組みを進める上で、一般には、最大の時間が必要となるのは、リスク分析の取り組みになります。

本書では、リスク分析の方法として、

?以下の手順よりなるボトムアップ・アプローチ(詳細法)をテンプレートとして提示しています。

  1. 情報資産を洗い出す
  2. 情報資産価値を決定する
  3. 情報資産の分類に従い、情報資産にラベルを貼る(情報資産価値の台帳と現物の一致)

および

?以下の手順からなるトップダウン・アプローチ(ベースライン法)を紹介しています。

  1. 現状の問題点を洗い出す
  2. キャップ分析を行う(脆弱性の明確化)
  3. 洗い出した脆弱性と情報資産を対応付ける
  4. 情報資産価値を決定する
  5. 情報資産の分類に従い、情報資産にラベルを貼る(情報資産価値の台帳と現物の一致)

また情報セキュリティの漏れであるセキュリティホールを検出するリスク分析・評価のノウハウ等を公開し、リスクアセスメント手法として実務的にまた体系的に解説しております。

出版社からのコメントによりますと本書は、以下の4つの特徴を備えているとのことであります。

  • 体系的にリスク評価の考え方を示したこと
  • 戦略的なリスク評価方法の選び方を示したこと(経済性、検出力などを考慮)
  • 実務家ならびにコンサルタントの実務に即した情報をベースラインカタログの項目として公開したこと
  • 官公庁、金融機関、一般企業におけるリスク評価を事例として示したこと。 情報セキュリティ管理基準、ISMS認証基準、FISCなどのいずれの基準にも拠らず、リスク評価を効率的・効果的に実践できる
情報セキュリティのためのリスク分析・評価―官公庁、金融機関、一般企業におけるリスク分析・評価の実践 情報セキュリティのためのリスク分析・評価―官公庁、金融機関、一般企業におけるリスク分析・評価の実践
畠中 伸敏 折原 秀博 相沢 健実

日科技連出版社 2004-07
売り上げランキング : 68,868
おすすめ平均

Amazonで詳しく見る
by G-Tools


なお本書の目次は、以下の内容です。
第1章 リスク分析および評価のプロセス
第2章 トップダウン・アプローチとボトムアップ・アプローチ
第3章 リスク分析と評価
第4章 情報システムのリスク評価と保護
第5章 ネットワークシステムのリスク評価と保護
第6章 脆弱性の調査技法と診断ツール
第7章 金融機関のリスク評価と保護
第8章 電子自治体のリスク評価と保護
第9章 電子商取引と電子政府のリスク評価と保護
第10章 顧客(個人)情報・技術情報編
第11章 電子自治体編
第12章 電子商取引編
第13章 金融機関編
付録1 ベースラインカタログの例(情報システム編)
付録2 ギャップ分析シートの例(ネットワークシステム編)

「ISOの本棚」ページのトップへ!



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

情報セキュリティというと技術的な視点に偏り勝ちになりますが、人・運用・技術まで拡げた総合的な観点から情報セキュリティ基盤の構築の手法を体系的に解説している本を紹介します。

本書:「実践 情報セキュリティ―人・運用・技術」です。

本書は、Andress,Amanda氏による原著書:「SURVIVING SECURITY : How to Integrate People, Process, and Technology Second Edition」を(株)富士通ソーシアルサイエンスラボラトリ訳ならびに戸田 巌氏監訳により、2005年2月にオーム社より発行されています。

なお原著者のAndress,Amanda氏は、セキュリティ技術についてExxon USAやDeloitte&ToucheおよびErnst&Youngなどの四大会計事務所で実務経験をもっていて、Deloitte&Toucheでは、セキュリティ管理解析の担当。各種セキュリティ製品と技術について実務経験を積んだ。四大会計事務所を離れてプライバシービジネスを扱うスタートアップ企業Privadaのセキュリティ役員に就任後、セキュリティ製品評価とコンサルテーションを行うArcSec Technologies社を創業して現在社長を務めているという人物です。

本書の翻訳本としてのリリース に際し、以下のように発表されています。

本書は、技術重視で語られがちなセキュリティ問題を“人”と“運用”と“技術”の面から総合的にとらえ、セキュリティと役に立つインフラストラクチャの総合的構築法を説明しているため、セキュリティ運用者および責任者、システム設計者が、担当分野の役割とセキュリティ問題の全貌を把握するのに役立ちます。また、情報セキュリティにおける経営者の役割についても触れており、お客様の情報セキュリティマネジメントにご活用いただける内容となっています。

まさに情報セキュリティについて人・運用・技術面の総合的観点からセキュリティ基盤の構成要素と役割、構築法・運用方法等について相互的に技術者だけでなく、経営者、管理者にも役立つ観点から解説してあります。

実践 情報セキュリティ―人・運用・技術 実践 情報セキュリティ―人・運用・技術
Amanda Andress 戸田 巌 富士通ソーシアルサイエンスラボラトリ

オーム社 2005-02
売り上げランキング : 73,936
おすすめ平均

Amazonで詳しく見る
by G-Tools



(広告)

ウィニー対策

 

ウイルス対策・スパイウェア対策・Winny対策

なお本書の目次は、以下の内容となっています。
1 セキュリティの必要性
  1.1 はじめに
  1.2 効率的なセキュリティインフラストラクチャの重要性
  1.3 人、運用、および技術
  1.4 敵は誰か
  1.5 攻撃のタイプ
  1.6 攻撃者のタイプ
  1.7 競争優位性としてのセキュリティ
  1.8 ソリューションの選択
  1.9 セキュリティ技術者の探し方
  1.10 階層的アプローチ

2 リスクとセキュリティ要件
  2.1 リスクとは
  2.2 リスクの容認
  2.3 情報セキュリティリスクの評価
  2.4 リスクを評価する
  2.5 保険

3 セキュリティポリシーと手順
  3.1 内部フォーカスが鍵
  3.2 セキュリティの意識向上および教育
  3.3 ポリシーのライフサイクル
  3.4 ポリシー策定
  3.5 セキュリティポリシーの要素
  3.6 セキュリティポリシーの例
  3.7 手順

4 暗号
  4.1 暗号化技術の歴史
  4.2 今日の暗号化技術
  4.3 ハッシュアルゴリズム
  4.4 電子署名
  4.5 電子署名法
  4.6 電子証明書
  4.7 公開鍵基盤 (PKI)
  4.8 Secure Sockets Layer(SSL)
  4.9 他のプロトコルおよび規格
  4.10 Pretty Good Privacy(PGP)
  4.11 電子透かし
  4.12 その他の暗号化の使用方法

5 認証
  5.1 多要素認証
  5.2 認証手法
  5.3 シングルサインオン
  5.4 集中管理はまだ幻か

6 ネットワークアーキテクチャと物理セキュリティ
  6.1 ネットワークアーキテクチャの変遷
  6.2 典型的なネットワーク構成
  6.3 Anson社のネットワークアーキテクチャ
  6.4 ネットワークの内部アーキテクチャ
  6.5 VLAN (仮想LAN)
  6.6 物理セキュリティ

7 ファイアウォールと境界セキュリティ
  7.1 ファイアウォールの進歩
  7.2 ファイアウォールの技術
  7.3 ファイアウォールの機能
  7.4 あなたにとってベストのファイアウォールとは
  7.5 ハードウェアアプライアンスとソフトウェア
  7.6 自主運営かアウトソーシングか
  7.7 ファイアウォールのアーキテクチャ
  7.8 どのアーキテクチャがよいか?
  7.9 ファイアウォールの設定
  7.10 ファイアウォールのルール
  7.11 コンテンツフィルタリング
  7.12 ロギング
  7.13 良いスタート

8 ネットワーク管理とネットワーク装置セキュリティ
  8.1 どこにでもネットーワークが
  8.2 DoS攻撃 (Denial Of Service)
  8.3 反射型攻撃 (Reflected Attacks)
  8.4 ネットワークの防御
  8.5 感染したシステムの発見
  8.6 SNMP
  8.7 SNMPセキュリティ
  8.8 ネットワーク上の新しい装置の発見
  8.9 セキュアな装置の設定
  8.10 すべてのネットワーク装置の共通の手順

9 無線LANのセキュリティ
  9.1 標準規格
  9.2 セキュリティの問題
  9.3 認証ソリューション
  9.4 無線LANの監査

10 侵入検知
  10.1 侵入検知システムとは何か?
  10.2 侵入分析の分類
  10.3 良いIDSが持つ特性
  10.4 誤報
  10.5 侵入検知の分類
  10.6 誇大広告から真実を選び出すには
  10.7 侵入検知におけるネットワークアーキテクチャについて
  10.8 運用サービス
  10.9 侵入検知における問題点
  10.10 開発中の技術

11 リモートアクセス
  11.1 リモートアクセスユーザ
  11.2 リモートアクセスの要件
  11.3 リモートアクセスの問題点
  11.4 ポリシー
  11.5 技術
  11.6 リモートアクセスの展開とサポート
  11.7 エンドユーザーセキュリティ

12 ホストセキュリティ
  12.1 ホストセキュリティの実装
  12.2 システム機能の理解
  12.3 OSの堅牢化
  12.4 セキュリティ監視プログラム
  12.5 システム監査

13 サーバセキュリティ
  13.1 堅牢化とサーバセキュリティ
  13.2 ファイアウォール
  13.3 Webサーバ
  13.4 メールサーバ
  13.5 データベース
  13.6 DNSサーバ
  13.7 DNSSEC
  13.8 ドメインコントローラおよびアクティブディレクトリ
  13.9 アプライアンス
  13.10 電子メールセキュリティ
  13.11 ポリシーマネジメント
  13.12 ポリシーコントロール

14 クライアントセキュリティ
  14.1 システムに鍵をかける
  14.2 ウィルスに対する防御
  14.3 有害ソフトに対する防御
  14.4 Microsoftアプリケーション
  14.5 インスタントメッセージ

15 アプリケーション開発
  15.1 脅威の発見
  15.2 Webアプリケーションのセキュリティ
  15.3 防止策
  15.4 対策用のツールとソリューション

16 セキュリティ運用と監視
  16.1 セキュリティは継続したプロセス
  16.2 パッチ
  16.3 メーリングリストの監視
  16.4 ログの調査
  16.5 定期的な設定調査
  16.6 マネージドセキュリティサービス

17 脆弱性テスト
  17.1 どのようにアセスメントを行うか
  17.2 脆弱性のアセスメントはどういう時に必要か
  17.3 なぜ脆弱性をアセスメントするのか
  17.4 アセスメントの実施
  17.5 パスワード解析
  17.6 一般的な攻撃

18 セキュリティ監査
  18.1 監査の概観
  18.2 監査
  18.3 監査の種類
  18.4 監査の分析
  18.5 監査の受審
  18.6 監査のコスト
  18.7 監査チェックリストのサンプル

19 インシデント対応
  19.1 インシデント管理について
  19.2 CSIRチームの重要性
  19.3 CSIRチームの理由づけ
  19.4 インシデントのコスト
  19.5 何が必要かを評価する
  19.6 あなたの評価の使い方
  19.7 攻撃に対するインシデント対応計画の作成
  19.8 インシデントが発生した時
  19.9 SANS研修所のインシデント対応計画
  19.10 攻撃を分析する

20 人、運用、技術の統合
  20.1 セキュリティインフラストラクチャ
  20.2 セキュリティインフラストラクチャの維持
  20.3 セキュリティ意識の啓発
  20.4 セキュリティの投資効果
  20.5 セキュリティインフラストラクチャの構成要素
  20.6 相互運用性と管理
  20.7 セキュリティの神話

21 今後の動向
  21.1 PDA
  21.2 ピアツーピアネットワーク(Peer-to-Peer Network)
  21.3 ハニーポット(Honeypot:おとり)
  21.4 ストレージエリアネットワーク
  21.5 あなたの努力は報われる

「ISOの本棚」ページのトップへ!




RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク

ISMS(情報セキュリティマネジメントシステム)の認証取得に関わる全般的な取り組みに関係して、分りやすい総括的なガイド本を紹介します。

本日紹介するのは、本書:「2時間でわかる図解 ISO17799/ISMS早わかり」です。

著者は、トーマツ環境品質研究所の白潟 敏朗氏で2003年7月に中経出版より発行されています。

本書は、ISO/IEC 17799:2000(すなわちJISX 5080:2002)を情報セキュリティマネジメントの管理の実施基準とし、ISMS認証基準を要求事項とする情報セキュリティマネジメントシステムについての解説書です

BS 7799は、1995年に情報セキュリティマネジメントシステムの規格として、BSI(英国規格協会)によって制定されています。

BS 7799は、2部構成で、BS7799-1(パート1)は、情報セキュリティ管理の実施基準を規定しています。

またBS7799-2(パート2)は、情報セキュリティマネジメントの仕様(認証に関わる要求事項)を規定しています。


わが国のISMS認証基準の源流は、BS7799-2:1999です。

一方、BS7799-1(パート1)は、ISO化され、ISO17799:2000となっております。

またこれをJIS化したものがJISX 5080:2002で10分類127項目の管理策を規定しています。

BS 7799-2は、BS 7799-2:2002(ISMS認証基準(ver2.0))の改定を経てISO/IEC 27001:2005JIS Q 27001:2006)へと改定されてきています。

またISO 17799:2000は、ISO 17799:2005へと改定され、これがJIS Q 27002:2006となっています。

ISO27001の付属書A「管理目的および管理策」は、11分類133項目の管理策を規定しています。

これは、基本的には、ISO 17799:2005すなわちJIS Q 27002:2006の管理策と同じ内容で、その簡略版となっています。

管理策は、JIS Q 27002:2006で詳しく規定されるようになっています。

このような経過にありますが、情報セキュリティマネジメントシステムの構築から運用、さらに認証取得に向けての基本的な考え方を理解する面で本書は、イラストやチャートなどの図表をふんだんに用いてわかり易い構成となっています。ただしまもなく本書のISO 27001:2005版対応する本が発売されるようです。

2時間でわかる図解 ISO17799/ISMS早わかり 2時間でわかる図解 ISO17799/ISMS早わかり
白潟 敏朗

中経出版 2003-07
売り上げランキング : 141,734

Amazonで詳しく見る
by G-Tools


なお本書の目次は、以下の内容です。

第1章 今なぜISO17799/ISMSなのか
第2章 ISO17799/ISMSの基本を理解する
第3章 ここで成否が決まる!規格の要求事項はこう解釈する
第4章 迷惑な規格解釈例
第5章 認証取得成功のための推進ノウハウ
第6章 成功事例に学ぼう


(広告)

【AIR-EDGE】AH-H407P PCにスロットインしたまま持ち運べるジャストPCカードサイズ

バナー

「ISOの本棚」ページのトップへ!

 

 

 



RSS twitter livedoorクリップ Buzzurl Google Bookmarks delicious Yahoo!ブックマークに登録 はてなブックマーク はてなブックマーク
Google 翻訳
Categories
運営者情報
track word
Profile
旅行なら
<

簡単検索
全国のホテルをあなた
好みで検索できます。
■日程
チェックイン
チェックアウト

■1部屋あたりのご利用人数
大人
小学校高学年
小学校低学年
幼児
(食事・布団付)
幼児(食事のみ)
幼児(布団のみ)
幼児
(食事・布団不要)

■部屋数 部屋

■宿泊料金の範囲
■地域を選択する
  
QRコード
QRコード
あわせて読みたい
あわせて読みたいブログパーツ
RSS


【このページをRSSリーダーに登録する!】
Googleに追加
My Yahoo!に追加
livedoor Readerに追加
はてなRSSに追加
goo RSSリーダーに追加
Bloglinesに追加
Technoratiに追加
PAIPOREADERに追加
newsgatorに追加
feedpathに追加

track feed ISOの本棚

  • seo