書籍名「見るみる ISMS ISO/IEC27001:2002」
著者 深田博史
日本規格協会
読もうと思った動機
・業務でISMSに携わることがあり、見識を深めたいと思ったため
・一般的なISMSの使い方を確認して、実務に生かすため
・ISMSの用語を確認するため
・ISMSに対して主体性を持ちたいため
印象に残った部分
p8 ISO/IEE27001
ISO/IEC27001はISMSを推進するための基準の一つで、情報セキュリティの仕組みの標準化、およびPDCAサイクルが重要な要素です。
ISMSをツールとして活用して、情報セキュリティ強化と、セキュリティ関連法など順守を狙い、どんどん仕組みを改善させます。
p9 代表的な情報セキュリティ
情報セキュリティとは、情報が漏れたり(機密性)、情報が壊れたり(完全性)情報が使いたい時に使えなかったり(可用性)する可能性があること
p9 ISO/IEC27001におけるリスク、機会
リスクとは
好ましくない結果につながる可能性、例えば情報の漏洩や情報セキュリティ関連法令等違反につながる可能性があること
機会とは
好ましい結果が得られやすい状況。
例えば情報を円滑に活用し、顧客にとって好ましいサービスを提供したり、業務品質を向上できる可能性があること。
p24 企業の目的 ISO/IEC27001 4.1
企業の事業目的、事業推進の狙い
経営方針や中期経営計画に表明されていることが比較的に多いです。
外部課題 ISO/IEC27001 4.1
企業を取り巻く外部環境の課題
好ましい事項(O)、好ましくない事項(T)
例を書く
内部課題 ISO/IEC27001 4.1
自社内の課題
好ましい事項(S)、好ましくない事項(W)
P29 リーダシップおよびコミットメント
トップマネジメント(ISMSの最高責任者)はトップとしてのISMSに関するリーダーシップを発揮し、コミットメント(責務)を果たす活動を行っていることを、次のような活動で実証します。
⑥ISMSの継続的改善を促進します。
⑦ISMSが有効であるように貢献する。
要員を指揮します。
p37 支援
7.1資源とは
ISMSを運営するために必要な経営資源
7.2力量とは
①情報セキュリティのパフォーマンスに影響を与える業務を組織の管理下で行う要員に必要な力量(どのような知識、スキルが必要か)を決定します。
②適切な教育、訓練や経験により要因が力量を保有していることを確実にします。
p41 コミュケーション
①ISMSに関する組織の内部および外部との必要なコミュニケーションを決定します。
内部コミュニケーション
ISMSを運営するために社内で行う情報交換活動、ミーティング等
外部コミュニケーション
社外とのコミュニケーションでa) 社外から情報を得る場合、b)社外に情報を発信する場合がある
p41~43 文章化した情報
文章化の程度
業務プロセスをどこまで詳細レベル 概要レベルで文書化するかまたは全く文書化しないかは、自社組織でリスクの大きさに応じて、利害関係者(株主など)
に対する説明責任を考慮して決めます。
文書の目的は「共有」です。目標や業務p炉セスを関係者が共有することが目的で、文書化はその「手段」です。
P49 9.パフォーマンス評価
9.1 監視、測定、分析及び評価
①以下の「事項を決めます。
1.監視の対象
2.監視、測定、分析評価
3.監視、測定の実施時期
4.監視、測定の結果を分析、評価する時期
②監視、測定、分析、評価の結果を文書化した情報として利用できるようにします。
実践できること or 感想
感想
・入門者向けの本で、初ISMSの本として選んで正解でした。
チェックリストが豊富に用意されていて、実務の振り返りにもつながったと思います。
・わかりやすい内容なのですが、それでも理解しきれない部分(特に組織的管理策)も多かったので期間をおいて再読したいと思います。
・ISMSの関心を高めるという目的は達成できたのでお勧めです。
・パフォーマンスの評価がISMSに結び付いているのが印象に残りました。
開発業務に繋がることなので、監視環境の構築やそれの評価方法については早く習得したいと思いました。
実践すること
・IPAの資格,情報セキュリティマネジメントののテキスト買って一読する。業務に関連がある場合、資格を取得する。
セキュリティ関係の資格としては短時間でとれる資格らしいので、積極的に取る。
・以下書籍を買って読む
ISO/IEC 27001情報セキュリティマネジメントシステム(ISMS)規格要求事項の徹底解説【第2版】
・自分の暮らしでもISMSを簡単に導入できるか検討してみる。
今思いつく場合だと、鍵の施錠管理、ファイルサーバーのパフォーマンス評価、監視カメラの配置など