本書を手に取った背景
セキュリティのプリセールスをやっているのですが、ガイドライン関連をちゃんと勉強したことが有りませんでした。
グローバルにはこういったガイドラインはたくさんありますが、ひとつくらいちゃんと勉強すレバ、他のものも理解しやすくなるんじゃないかと。
ということで、国内ではよくきくISOについて勉強しようと思いました。
本書のテーマ
ISO/IEC27001を認証取得する企業、担当者を対象に制度、要求事項、ISMS構築、審査について解説している。
個人的なポイント
1,ISOとは
サービスに関して全世界で同じレベルのものを提供できるようにする。国際的な基準
ISMS-ACで審査を受けて認証取得する。
2,ISMS
組織体制の整備や訓練などの情報セキュリティマネジメントシステム。ISOはこれを維持することを目的としている。
ISMS管理者・事務局・担当者・内部監査員がいるがそれぞれに求められる役割がある。
3,組織の目的からブレイクダウンする
CISOハンドブックにも関係してくるところ。ISOの必要性がわかってくる。
内部・外部課題を明確にして組織にセキュリティを適用していく。
4,関連する専門組織
JPCERT,ISMS-AC,PPC,IPA,JNSA,などときどき聞く組織名もでてくる。なんとなく組織の名前は知ってたけどこの辺で関係してくる。
IPAが公開している脆弱性情報もISOが絡むと非常に重要。自社で導入している設備の関連脆弱性情報は日々ここでチェックすべき。
5,変更管理
組織に影響を与える業務、設備、システムの変更を管理すること。PMPも勉強したことがあってこの辺がしっくりこなかったので、あえてピックアップした。
1番心に残った部分
PMBOKのリスクマネジメント部分に特化した内容だった。PMPを取得していたので各論については抵抗なく入ってきたが、総論のほうが理解できてなくて、勉強できてよかった。
今後やれること
・プレゼン時に解説をいれる
・他のガイドラインも勉強する
・関連組織の情報を日々チェックする
まとめ
ガイドラインがどのように考えられてるか、今まではおぼろげだったがはっきり見えてきた気がする。GDPR、CISなど他のガイドラインも勉強していきたい。
CISOハンドブックなどとも紐づけながら、習得すべき内容だと感じた。