JISQ27001が制定されて以降、相次いでISO27001に関する本が出版されています。
これまでのISO27001に関する書籍は、確かにコンサルタントによる本がほとんどであったかと思いますが、審査登録機関のISMS審査員が書いたことを特徴とする本が出版されましたので紹介します。
本書:「審査員が教えるISO27001情報セキュリティマネジメントシステム実践導入マニュアル」です。
本書は、日本能率協会の審査登録センターの審査員が執筆し、日本能率協会マネジメントセンターから本年の7月に発行されています。
執筆者によると、これまでのISMSに関する著作は、コンサルタント側が多く、コンサルタント側の発言は、自由度が高く、コンサルタントは、常に受審組織の味方であることの旗色を鮮明にできるのに対して、審査機関は、受審組織から独立した中立の存在なので、必要な場合は、「不適合」も出すし、受審組織の経営者に苦言を呈する場合もある。
それで発言も少なくなっているとのことです。
またこの規格の利用者として、認証取得を目指す組織だけでなく、市場の一般ユーザーも含まれるとの観点から、最終顧客の視点からもISMSを取り上げているとのことが強調されています。
本書は、あくまで、審査員の立場から原則的な規格の解釈に基づいて,ISMSの構築から、認証に向けての運用等記載したものとのことであります。
少し余談になりますが、「コンサルタントは」とか、「審査員は」、とかありますが、要は、その人物次第ではないでしょうか。
コンサルタントは、審査員と比較すると組織の中の現場を知る密度が圧倒的に濃いと思います。
組織に迎合するコンサルタントばかりでなく、受審組織の経営者にも苦言を呈し、規格について原理的な解釈に基づき対応される立派なコンサルタントも多くおられます。またその逆の審査員もいるように思います。
私は、むしろ審査員には、審査員となる以前にコンサルタントとして幾つかの組織でシステム構築を実施してきたキャリアを持っていることが重要ではないかと思っています。 より適切な適合性審査ができるかと思います。
本書の構成は、4つの章から成っています。
第1章では、「ISMS(ISO27001)の必要性」と「情報セキュリティ対策制度とISMS」としてISO27001の概要が説明されています。この中で個人情報保護法や個人情報保護マネジメントシステムについても少し、触れられてあります。
第2章、第3章が本論になります。
第2章では、「JISQ27001:2006」の本文(0.1序文から8.3予防処置まで)が解説されています。
第3章では、付属書A(管理目的及び管理策)についての解釈と留意点が解説されています。
第2章、第3章では、
- 規格本文
- 解釈と留意点
- 審査員の目:注意すべきポイント
のようなスタイルで説明されています。この内容について、管理策の実施の手引き等を解説しているJISQ27002:2006の記載と対比してみるとJISQ27002よりは、コンパクトに要領よくまとめられており分り易く作成されていると思います。
第4章では、「・情報処理業、・病院、・介護施設、・ホテル、・印刷業、・学校と教育機関、・コンサルティング業、・人材派遣業、・税理士と会計事務所」についての適用の考え方を示してあります。
本書の表紙には、2006年のPマークJIS改正にも対応とありますが、改正規格(JISQ15001:2006)の内容の詳細を説明しているものではありません。
なお本書の目次は、以下の内容となっています。
第1章 ISMS(ISO27001)の必要性と規格のあらまし
1.ISMS(ISO27001)の必要性
2.わが国における情報セキュリティ対策制度とISMS
第2章 JISQ27001 : 2006の解釈と審査員の目
0 序文
1 適用範囲
2 引用規格
3 用語及び定義
4 情報セキュリティマネジメントシステム
5 経営陣の責任
6 ISMS内部監査
7 ISMSのマネジメントレビュー
8 ISMSの改善
第3章 附属書A「管理目的及び詳細管理策」の解釈と審査員の目
A.5 セキュリティ基本方針
A.6 情報セキュリティのための組織
A.7 資産の管理/A.8 人的資源のセキュリティ
A.9 物理的及び環境的セキュリティ
A.10 通信及び運用管理/A.11 アクセス制御
A.12 情報システムの取得、開発及び保守
A.13 情報セキュリティインデントの管理
A.14 事業継続管理
A.15 順守
第4章 主な業種(分野)での適用のあり方
1 ISMSが適用される主な業種(分野)
2 情報処理業
3 病院介護施設
4 ホテル
5 印刷業
6 学校、教育機関
7 コンサルティング業
8 人材派遣業
9 税理士、会計事務所
(広告)