図解入門ビジネス 最新ISO27001の基本と実践がよーくわかる本

図解入門ビジネス 最新ISO27001の基本と実践がよーくわかる本

編著者:打川和男
出版社:秀和システム
発行日:2012年2月

情報セキュリティマネジメントの国際規格「ISO27001」の認証取得から更新、改善、さらにISMSの管理手法を徹底解説した入門書です。
昨今の情報セキュリティ事故の多発から、企業の情報セキュリティマネジメントへの期待や関心が高まりつつあります。
本書では、情報セキュリティマネジメントシステム(ISMS)に関する国際規格「ISO27001」をこれから取得しようという企業、すでに取得しているが改善方法で悩んでいる担当者のために、システム構築と認証取得のステップや改善に関する実践的なノウハウを図を使ってわかりやすく解説します。
情報セキュリティがなぜ必要なのか、維持審査や更新審査を受けるにはどうすればよいのかが図解で的確にわかります。

目次

第1章 なぜ、情報セキュリティマネジメントが必要なのか

  • 1-1 多発する個人情報流出事件
  • 1-2 コンピュータウイルスの被害
  • 1-3 不正アクセスの被害
  • 1-4 情報セキュリティマネジメントとは

第2章 情報セキュリティマネジメントシステム ISO/IEC27001とは

  • 2-1 ISO(国際標準化機構)とは?
  • 2-2 ISOマネジメントシステム規格
  • 2-3 なぜ、ISO/IEC27001が発行されたのか
  • 2-4 ISO/IEC27001の認定・認証制度
  • 2-5 ISO/IEC27001の認証件数
  • 2-6 ISO/IEC27001の特長
  • 2-7 ISO/IEC27001の規格要求事項

第3章 情報セキュリティマネジメントシステム ISO/IEC27001の要求事項を理解する(1)

  • 3-1 一般要求事項
  • 3-2 ISMSの確立及び運営管理
  • 3-3 ISMS基本方針
  • 3-4 リスクアセスメント手法の定義
  • 3-5 リスクの特定
  • 3-6 リスクの分析及び評価
  • 3-7 リスク対応
  • 3-8 管理目的・管理策の選択と適用宣言書の作成
  • 3-9 リスク対応計画と管理策
  • 3-10 ISMSの運用
  • 3-11 監視及びレビューの手順など
  • 3-12 リスクアセスメントのレビューなど
  • 3-13 特定した改善策の導入
  • 3-14 是正処置及び予防処置など
  • 3-15 文書化に関する要求事項
  • 3-16 文書管理
  • 3-17 記録の管理

第4章 経営陣の責任からISMSの改善まで ISO/IEC27001の要求事項を理解する(2)

  • 4-1 経営陣のコミットメント
  • 4-2 経営資源の運用管理
  • 4-3 教育・訓練、意識向上及び力量
  • 4-4 ISMS内部監査
  • 4-5 ISMSのマネジメントレビュー
  • 4-6 継続的改善
  • 4-7 是正処置と予防処置

第5章 セキュリティ基本方針 付属書Aの要求事項を理解する(1)

  • 5-1 付属書Aの構造
  • 5-2 セキュリティ基本方針

第6章 情報セキュリティのための組織 付属書Aの要求事項を理解する(2)

  • 6-1 情報セキュリティに対する経営陣の責任
  • 6-2 情報セキュリティの調整など
  • 6-3 情報処理設備の認可プロセスなど
  • 6-4 外部組織

第7章 資産の管理 付属書Aの要求事項を理解する(3)

  • 7-1 資産目録
  • 7-2 資産の管理責任者
  • 7-3 情報の分類

第8章 人的資源のセキュリティ 付属書Aの要求事項を理解する(4)

  • 8-1 役割及び責任
  • 8-2 選考と雇用条件
  • 8-3 雇用期間中
  • 8-4 雇用の終了又は変更

第9章 物理的及び環境的セキュリティ 付属書Aの要求事項を理解する(5)

  • 9-1 物理的セキュリティ境界、物理的入退管理策
  • 9-2 オフィス、部屋及び施設のセキュリティなど
  • 9-3 装置の設置及び保護、サポートユーティリティ
  • 9-4 ケーブル配線のセキュリティなど

第10章 通信及び運用管理 付属書Aの要求事項を理解する(6)

  • 10-1 操作手順書
  • 10-2 変更管理など
  • 10-3 第三者が提供するサービスの管理
  • 10-4 システムの計画作成及び受入れ
  • 10-5 悪意のあるコード及びモバイルコードからの保護など
  • 10-6 ネットワークセキュリティ管理
  • 10-7 媒体の取扱い
  • 10-8 情報の交換
  • 10-9 電子商取引サービス
  • 10-10 監視

第11章 アクセス制御 付属書Aの要求事項を理解する(7)

  • 11-1 アクセス制御に対する業務上の要求事項
  • 11-2 利用者アクセスの管理
  • 11-3 利用者の責任
  • 11-4 ネットワークのアクセス制御
  • 11-5 オペレーティングシステムのアクセス制御
  • 11-6 業務用ソフトウェア及び情報のアクセス制御など

第12章 情報システムの取得、開発及び保守 付属書Aの要求事項を理解する(8)

  • 12-1 情報システムのセキュリティ要求事項
  • 12-2 業務用ソフトウェアでの正確な処理
  • 12-3 暗号による管理策
  • 12-4 システムファイルのセキュリティ
  • 12-5 開発及びサポートプロセスにおけるセキュリティ
  • 12-6 技術的ぜい弱性管理

第13章 情報セキュリティインシデントの管理など 付属書Aの要求事項を理解する(9)

  • 13-1 情報セキュリティの事象及び弱点の報告
  • 13-2 情報セキュリティインシデントの管理及びその改善
  • 13-3 事業継続管理
  • 13-4 法的要求事項の順守
  • 13-5 セキュリティ方針及び標準の順守、並びに技術的順守など

第14章 ISMSを構築する

  • 14-1 情報セキュリティマネジメントシステムの構築ステップ
  • 14-2 体制を構築する
  • 14-3 ISMSの適用範囲を定義する
  • 14-4 ISMS基本方針を策定する
  • 14-5 情報資産の特定
  • 14-6 脅威の特定
  • 14-7 ぜい弱性と影響の特定
  • 14-8 リスクを分析する
  • 14-9 リスクを評価し、管理目的と管理策を選択する
  • 14-10 ISMS文書の作成
  • 14-11 ISMSの導入教育

第15章 情報セキュリティマネジメントシステムをレビューする

  • 15-1 ISMS内部監査とは
  • 15-2 監査のガイドラインISO19011
  • 15-3 ISMS内部監査体制の確立
  • 15-4 内部監査員に必要な力量
  • 15-5 ISMS内部監査の計画
  • 15-6 ISMS内部監査の準備
  • 15-7 ISMS内部監査の実施
  • 15-8 ISMS内部監査の報告
  • 15-9 ISMSのレビュー

第16章 ISO/IEC27001の認証審査を受ける

  • 16-1 ISO/IEC27001の認証取得のメリット
  • 16-2 認証審査までのステップ
  • 16-3 初回認証審査
  • 16-4 維持審査と更新審査

第17章 情報セキュリティマネジメントシステム(ISMS)を改善する

  • 17-1 情報セキュリティマネジメントシステムの改善
  • 17-2 リスクアセスメントの改善
  • 17-3 ISMS文書のスリム化を実現する
  • 17-4 内部監査の本質を見直す
  • 17-5 インタビューのやり方を見直す
  • 17-6 チェックリストの限界を知る
  • 17-7 報告書を見直す
  • 17-8 マネジメントシステムの重複管理の解消

第18章 情報セキュリティに関する法律、ガイドライン

  • 18-1 不正アクセス禁止法、刑法
  • 18-2 知的財産法
  • 18-3 個人情報保護法
  • 18-4 迷惑メール防止法、電子署名法
  • 18-5 情報セキュリティ関連のガイドライン
  • 18-6 個人情報保護のガイドライン
  • 18-7 ISO/IEC27000ファミリー規格