ISO27001の基礎知識は学べた。規格の内容から運用に至るまで図表を用いてわかりやすく解説されていて、類似の書籍よりも個人的には理解につながったと思う。
1. 情報セキュリティマネジメントシステムISO/IEC27001とは
・ISOマネジメントシステム規格(ISO MSS)は、品質マネジメントシステム(ISO9001)や環境マネジメントシステム(ISO14001)、情報セキュリティマネジメントシステム(ISO/IEC27001)など、ビジネス環境や利害関係者からの要求の変化に応じて規格が発行されており、組織を取り巻くリスクごとに規格が開発
・MSS共通テキストと呼ばれるMSS共通要素を原則として採用
・ISOマネジメントシステムの認定機関は、原則、1か国に1機関
・ISO9001やISO14001は(公財)日本適合性認定協会(JAB)が有名
・ISO27001はJABと(一社)情報マネジメントシステム認定センター(ISMS-AC)が認定機関
・日本の組織が認証取得する場合、ISMS適合性評価制度で認証取得するのが一般的
・ISO27000ファミリー規格:ISMS関連規格(27000:用語、27001:要求事項など)
2. 情報セキュリティマネジメントシステム(ISMS)適合性評価制度と認証審査
・ISMSは、どのような組織であっても必ず適用させる必要がある要求事項(4.組織の状況~10.改善)と組織が導入するかを決定する要求事項(附属書Aの情報セキュリティ管理策)で構成
3. 情報セキュリティマネジメントシステム(ISMS)に関する用語
・方針(policy)→ISMSでは情報セキュリティ方針の策定が必須
・目的(objective)→情報セキュリティ方針と整合性の取れた情報セキュリティ目的を設定
・監査(audit)→内部監査が要求。監査基準と監査証拠を比較して監査所見を明らかにし、監査の結論を導く
4. 組織の状況
・ISMSで取り組む組織の課題を明確にする
・利害関係者からの要求や期待を明確にする
・合理的な理由に基づいて適用範囲を決定する
・PDCAに基づいたISMSの構築を決定する
5. リーダーシップ
・トップマネジメントのコミットメントが重要→情報セキュリティ方針の策定
・ISMS推進体制
6. 計画
・リスクと機会を決定して、対処する活動を明確にする
・リスクアセスメントの手順や判断基準を決定する
・情報セキュリティ目的を決定し、計画書を作成する
7. 支援
・必要な資源(人、物、金、情報)を決定して提供する
・要員に求められる力量を明確にする
・認識、コミュニケーション、文書化
8. 運用、パフォーマンス評価、改善
・情報セキュリティリスクの対応計画を実施
・ISMSの有効性を評価、ISMSの内部監査を実施する
・マネジメントレビューによってISMSの有効性を評価する
・不適合が発生した場合は是正処理によって改善を図る
9. 付属書A(管理策) 情報セキュリティ管理策(5組織的管理策)
10. 付属書A(管理策) 情報セキュリティ管理策(6人的管理策)
11. 付属書A(管理策)、情報セキュリティ管理策(7物理的管理策)
12. 付属書A(管理策)、情報セキュリティ管理策(8技術的管理策)
13. 情報セキュリティマネジメントシステムの構築
・ISMS構築・導入・認証取得までの6つのステップ:①適用範囲と責任体制の決定、②情報セキュリティ方針の策定、③ISMS文書の作成、④リスクアセスメント、⑤ISMSの運用、⑥審査
14. 情報セキュリティマネジメントシステムの運用・認証取得
