あらすじ
※この商品はタブレットなど大きいディスプレイを備えた端末で読むことに適しています。また、文字だけを拡大することや、文字列のハイライト、検索、辞書の参照、引用などの機能が使用できません。
【ISO27001:2022完全対応!フルカラーでわかりやすく規格取得や維持方法を解説!】
「ISO/IEC27001」は国際標準化機構(ISO)による情報セキュリティマネジメントに関する国際規格です。こちらの規格が2022年10月25日に改訂されました。
本書では、改訂の内容に合わせて、ISO認証の取得を目指している組織の担当者、すでにシステム運用中の企業で関連部門に配属された人などの役に立つよう、改訂のポイントや全体の内容を図解でわかりやすく解説します。また、今回から紙面をフルカラーにして、より分かりやすく、読みやすくなりました。
■目次
1章 情報セキュリティマネジメントシステム ISO/IEC 27001 とは
2章 情報セキュリティマネジメントシステム(ISMS)適合性評価制度と認証審査
3章 情報セキュリティマネジメントシステム(ISMS)に関する用語
4章 4 組織の状況
5章 5 リーダーシップ
6章 6 計画
7章 7 支援
8章 8 運用 9 パフォーマンス評価 10 改善
9章 附属書A(管理策)情報セキュリティ管理策(5 組織的管理策)
10章 附属書A(管理策)情報セキュリティ管理策(6 人的管理策)
11章 附属書A(管理策)情報セキュリティ管理策(7 物理的管理策)
12章 附属書A(管理策)情報セキュリティ管理策(8 技術的管理策)
13章 情報セキュリティマネジメントシステムの構築
14章 情報セキュリティマネジメントシステムの運用・認証取得
■著者プロフィール
岡田敏靖(おかだとしやす):株式会社テクノソフト コンサルティング部 コンサルタント。JRCA登録 情報セキュリティマネジメントシステム審査員補。2001年に株式会社テクノソフトに入社後、ISO/IEC 27001(情報セキュリティ)、ISO 9001(品質)、ISO 14001(環境)、プライバシーマーク(個人情報保護)などの取得支援やセミナーに従事。多種多様な業種業態へのコンサルティング経験を基にした取得支援や実践的なセミナーで活躍している。
感情タグBEST3
Posted by ブクログ
看板に偽りなし。ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書としては、至極真っ当な内容。27001の取得や更新に携わることがあるのであれば、まずは一読して損は無いように思った。規格や関連組織の説明はカタログ的で冗長かなとも思ったが、この手の内容をまとめるのも手間なので実務上は助かるように感じた。
Posted by ブクログ
ISO27001の基礎知識は学べた。規格の内容から運用に至るまで図表を用いてわかりやすく解説されていて、類似の書籍よりも個人的には理解につながったと思う。
1. 情報セキュリティマネジメントシステムISO/IEC27001とは
・ISOマネジメントシステム規格(ISO MSS)は、品質マネジメントシステム(ISO9001)や環境マネジメントシステム(ISO14001)、情報セキュリティマネジメントシステム(ISO/IEC27001)など、ビジネス環境や利害関係者からの要求の変化に応じて規格が発行されており、組織を取り巻くリスクごとに規格が開発
・MSS共通テキストと呼ばれるMSS共通要素を原則として採用
・ISOマネジメントシステムの認定機関は、原則、1か国に1機関
・ISO9001やISO14001は(公財)日本適合性認定協会(JAB)が有名
・ISO27001はJABと(一社)情報マネジメントシステム認定センター(ISMS-AC)が認定機関
・日本の組織が認証取得する場合、ISMS適合性評価制度で認証取得するのが一般的
・ISO27000ファミリー規格:ISMS関連規格(27000:用語、27001:要求事項など)
2. 情報セキュリティマネジメントシステム(ISMS)適合性評価制度と認証審査
・ISMSは、どのような組織であっても必ず適用させる必要がある要求事項(4.組織の状況~10.改善)と組織が導入するかを決定する要求事項(附属書Aの情報セキュリティ管理策)で構成
3. 情報セキュリティマネジメントシステム(ISMS)に関する用語
・方針(policy)→ISMSでは情報セキュリティ方針の策定が必須
・目的(objective)→情報セキュリティ方針と整合性の取れた情報セキュリティ目的を設定
・監査(audit)→内部監査が要求。監査基準と監査証拠を比較して監査所見を明らかにし、監査の結論を導く
4. 組織の状況
・ISMSで取り組む組織の課題を明確にする
・利害関係者からの要求や期待を明確にする
・合理的な理由に基づいて適用範囲を決定する
・PDCAに基づいたISMSの構築を決定する
5. リーダーシップ
・トップマネジメントのコミットメントが重要→情報セキュリティ方針の策定
・ISMS推進体制
6. 計画
・リスクと機会を決定して、対処する活動を明確にする
・リスクアセスメントの手順や判断基準を決定する
・情報セキュリティ目的を決定し、計画書を作成する
7. 支援
・必要な資源(人、物、金、情報)を決定して提供する
・要員に求められる力量を明確にする
・認識、コミュニケーション、文書化
8. 運用、パフォーマンス評価、改善
・情報セキュリティリスクの対応計画を実施
・ISMSの有効性を評価、ISMSの内部監査を実施する
・マネジメントレビューによってISMSの有効性を評価する
・不適合が発生した場合は是正処理によって改善を図る
9. 付属書A(管理策) 情報セキュリティ管理策(5組織的管理策)
10. 付属書A(管理策) 情報セキュリティ管理策(6人的管理策)
11. 付属書A(管理策)、情報セキュリティ管理策(7物理的管理策)
12. 付属書A(管理策)、情報セキュリティ管理策(8技術的管理策)
13. 情報セキュリティマネジメントシステムの構築
・ISMS構築・導入・認証取得までの6つのステップ:①適用範囲と責任体制の決定、②情報セキュリティ方針の策定、③ISMS文書の作成、④リスクアセスメント、⑤ISMSの運用、⑥審査
14. 情報セキュリティマネジメントシステムの運用・認証取得
