ISO27001:2013の仕組みがよ~くわかる本

ISO27001:2013の仕組みがよ~くわかる本

編著者:打川和男
出版社:秀和システム
発行日:2013年11月

 情報セキュリティマネジメントの国際規格ISO27001:2013の導入から認証審査、管理策まで前規格との違いを徹底解説した入門書です。
ISO27001:2005の発行から8年が経ち、2013年に待望の改定版であるISO27001:2013が発行されました。
今後、国内でも多くの企業が対応することが予想されます。
本書では、ISO27001の認証取得を目指す、あるいは、認証取得済みで今回の改定への対応を検討している企業の担当者を対象に、規格要求事項や管理策、前規格との違い、認証取得のステップ等に関する実践的なノウハウを解説しています。
また情報セキュリティ関連の法令やガイドラインも掲載。ISMSの構築からISO27001:2013の認証取得まで、すべてが的確にわかる一冊です。

目次

第1章 ISO及びISO/IEC27001とは?

  • 1-1 ISO(国際)規格とは?
  • 1-2 ISO(国際標準化機構)とは?
  • 1-3 ISOマネジメントシステム規格
  • 1-4 ISO/IEC 27001の発行
  • 1-5 ISO/IEC27001の認定・認証制度
  • 1-6 ISO/IEC27001の認証件数
  • 1-7 ISO/IEC27001の改定
  • 1-8 ISO/IEC27001のポイント

第2章 規格要求事項を理解する(1) ── 4 組織の状況

  • 2-1 4.1 組織及びその状況の理解
  • 2-2 4.2 利害関係者のニーズ及び期待の理解
  • 2-3 4.3 情報セキュリティマネジメントシステムの適用範囲の決定

第3章 規格要求事項を理解する(2) ── 5 リーダーシップ

  • 3-1 5.1 リーダーシップ及びコミットメント
  • 3-2 5.2 方針
  • 3-3 5.3 組織の役割、責任及び権限

第4章 規格要求事項を理解する(3) ── 6 計画

  • 4-1 6.1 リスク及び機会に対処する活動
  • 4-2 6.1.2 情報セキュリティリスクアセスメント
  • 4-3 6.1.3 情報セキュリティリスク対応
  • 4-4 6.2 情報セキュリティ目的及びそれを達成するための計画策定

第5章 規格要求事項を理解する(4) ── 7 支援

  • 5-1 7 支援
  • 5-2 7.3 認識 7.4 コミュニケーション
  • 5-3 7.5 文書化した情報

第6章 規格要求事項を理解する(5) ── 8 運用

  • 6-1 8 運用
  • 6-2 8.2 リスクアセスメント 8.3 リスク対応

第7章 規格要求事項を理解する(6) ── 9 パフォーマンス評価 10 改善

  • 7-1 9 パフォーマンス評価
  • 7-2 9.2 内部監査
  • 7-3 9.3 マネジメントレビュー
  • 7-4 10 改善

第8章 附属書Aを理解する(1) ── 「A.5 情報セキュリティのための方針群」、「A.6 情報セキュリティのための組織」

  • 8-1 附属書Aとは
  • 8-2 A.5 情報セキュリティのための方針群
  • 8-3 A.6 情報セキュリティのための組織(1)
  • 8-4 A.6 情報セキュリティのための組織(2)
  • 8-5 A.6 情報セキュリティのための組織(3)

第9章 附属書Aを理解する(2) ── 「A.7 人的資源のセキュリティ」、「A.8 資産の管理」

  • 9-1 A.7 人的資源のセキュリティ(1)
  • 9-2 A.7 人的資源のセキュリティ(2)
  • 9-3 A.7 人的資源のセキュリティ(3)
  • 9-4 A.8 資産の管理(1)
  • 9-5 A.8 資産の管理(2)
  • 9-6 A.8 資産の管理(3)
  • 9-7 A.8.3 媒体の取扱い

第10章 附属書Aを理解する(3) ── 「A.9 アクセス制御」、「A.10 暗号」、「A.11 物理的及び環境的セキュリティ」

  • 10-1 A.9 アクセス制御(1)
  • 10-2 A.9 アクセス制御(2)
  • 10-3 A.9 アクセス制御(3)
  • 10-4 A.9 アクセス制御(4)
  • 10-5 A.9 アクセス制御(5)
  • 10-6 A.9 アクセス制御(6)
  • 10-7 A.10 暗号
  • 10-8 A.11 物理的及び環境的セキュリティ(1)
  • 10-9 A.11 物理的及び環境的セキュリティ(2)
  • 10-10 A.11 物理的及び環境的セキュリティ(3)
  • 10-11 A.11 物理的及び環境的セキュリティ(4)
  • 10-12 A.11 物理的及び環境的セキュリティ(5)
  • 10-13 A.11 物理的及び環境的セキュリティ(6)

第11章 附属書Aを理解する(4) ── 「A.12 運用のセキュリティ」

  • 11-1 A.12 運用のセキュリティ(1)
  • 11-2 A.12 運用のセキュリティ(2)
  • 11-3 A.12 運用のセキュリティ(3)
  • 11-4 A.12 運用のセキュリティ(4)
  • 11-5 A.12 運用のセキュリティ(5)

第12章 附属書Aを理解する(5) ── 「A.13 通信のセキュリティ」、「A.14 システムの取得、開発及び保守」

  • 12-1 A.13 通信のセキュリティ(1)
  • 12-2 A.13 通信のセキュリティ(2)
  • 12-3 A.14 システムの取得、開発及び保守(1)
  • 12-4 A.14 システムの取得、開発及び保守(2)
  • 12-5 A.14 システムの取得、開発及び保守(3)
  • 12-6 A.14 システムの取得、開発及び保守(4)
  • 12-7 A.14 システムの取得、開発及び保守(5)

第13章 附属書Aを理解する(6) ── 「A.15 供給者関係」、「A.16 情報セキュリティインシデント管理」、「A.17 事業継続マネジメントにおける情報セキュリティの側面」、「A.18 順守」

  • 13-1 A.15 供給者関係(1)
  • 13-2 A.15 供給者関係(2)
  • 13-3 A.15 供給者関係(3)
  • 13-4 A.16 情報セキュリティインシデント管理(1)
  • 13-5 A.16 情報セキュリティインシデント管理(2)
  • 13-6 A.16 情報セキュリティインシデント管理(3)
  • 13-7 A.17 事業継続マネジメントにおける情報セキュリティの側面
  • 13-8 A.18 順守(1)
  • 13-9 A.18 順守(2)

第14章 ISMSを構築し、導入する

  • 14-1 ISMSの構築・導入ステップ
  • 14-2 ISMSの体制を確立する
  • 14-3 ISMSの適用範囲を定義する
  • 14-4 情報セキュリティ方針を策定する
  • 14-5 リスクアセスメントの実施(1)
  • 14-6 リスクアセスメントの実施(2)
  • 14-7 リスクアセスメントの実施(3)
  • 14-8 リスクアセスメントの実施(4)
  • 14-9 ISMS文書の作成
  • 14-10 ISMSの導入教育

第15章 ISMSをレビューする

  • 15-1 ISMS内部監査とは
  • 15-2 監査のガイドライン
  • 15-3 ISMS内部監査体制の確立
  • 15-4 ISMS内部監査員に必要な力量
  • 15-5 ISMS内部監査の計画
  • 15-6 ISMS内部監査の準備(1)
  • 15-7 ISMS内部監査の準備(2)
  • 15-8 ISMS内部監査の実施(1)
  • 15-9 ISMS内部監査の実施(2)
  • 15-10 ISMS内部監査の実施(3)
  • 15-11 ISMS内部監査の報告
  • 15-12 ISMSのレビュー

第16章 ISMSの認証審査を受ける

  • 16-1 ISO/IEC27001の認証取得のメリット
  • 16-2 ISO/IEC27001の認証審査までのステップ
  • 16-3 ISO/IEC27001の初回認証審査
  • 16-4 ISO/IEC27001の維持審査と更新審査

第17章 情報セキュリティに関する法律、ガイドライン

  • 17-1 不正アクセス禁止法、刑法
  • 17-2 知的財産法
  • 17-3 個人情報保護法
  • 17-4 迷惑メール防止法、電子署名法
  • 17-5 情報セキュリティ関連のガイドライン
  • 17-6 個人情報保護のガイドライン
  • 17-7 ISO/IEC27000ファミリー規格