「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
- IPA試験の略号
- 情報セキュリティスペシャリスト(Information Security Specialist Examination)
- 情報処理安全確保支援士(Registered Information Security Specialist Examination)
- 恐らく、SC : SeCurity?なんだろうなと。
詳細 †
ISMS(情報セキュリティマネジメントシステム) †
- ISMS : Information Security Management System
- 情報セキュリティマネジメントシステム
- その名の通り「システム」、つまりは「仕組み」で、
企業全体の「情報セキュリティを管理するための仕組み
- ISMS的な考え方で、企業の情報セキュリティのレベルを高めるには、
- 「機密性・完全性・可用性」という3つの性質を維持すること。
- 企業全体として優れた情報セキュリティ対策ができると述べている。
- 情報セキュリティの経営陣の方向性及び支持を規定。
(品質マネジメント・システムの情報セキュリティ版みたいな)
- 全社的な基本方針を定めるもので広く社内外に公開する。
- 詳細に踏み込まず、頻繁に変更しないが、
ビジネス環境や技術の変化に対応させる。
- 是正処置
不適合の発生源を除去し再発を防止。
PMBOKでも是正処置の対象は作業内容で、再発防止。
ISO/IEC 27000 シリーズ †
https://ja.wikipedia.org/wiki/ISO/IEC_27000_%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA
ISO/IEC 27000:2013、JIS Q 27000:2014 †
ISMS 規格についての概要と基本用語集
ISO/IEC 27001:2013、JIS Q 27001:2014 †
組織のISMSを認証するための要求事項
- ISO/IEC 27001に対応するのはJIS Q 27001
- ISO 27001の最新版がISO/IEC 27001:2013で、
- 対応する日本語訳がJIS Q 27001:2014。
- 目次
- 0 序文
- 0.1 概要
- 0.2 他のマネジメントシステム規格との両立性
- 4 組織の状況
- 4.1 組織及びその状況の理解
- 4.2 利害関係者のニーズ及び期待の理解
- 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- 4.4 情報セキュリティマネジメントシステム
- 5 リーダーシップ
- 5.1 リーダーシップ及びコミットメント
- 5.2 方針
- 5.3 組織の役割,責任及び権限
- 6 計画
- 6.1 リスク及び機会に対処する活動
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- 7 支援
- 7.1 資源
- 7.2 力量
- 7.3 認識
- 7.4 コミュニケーション
- 7.5 文書化した情報
- 8 運用
- 8.1 運用の計画及び管理
- 8.2 情報セキュリティリスクアセスメント
- 8.3 情報セキュリティリスク対応
- 9 パフォーマンス評価
- 9.1 監視,測定,分析及び評価
- 9.2 内部監査
- 9.3 マネジメントレビュー
- 10 改善
- 10.1 不適合及び是正処置
- 10.2 継続的改善
- 附属書Aの構成(管理策の14カテゴリ)
- A.5 セキュリティ方針
- A.6 情報セキュリティのための組織
- A.7 人的資源のセキュリティ
- A.8 資産の管理
- A.9 アクセス制御
- A.10 暗号
- A.11 物理的及び環境的セキュリティ
- A.12 運用管理
- A.13 通信のセキュリティ
- A.14 システムの取得、開発及び保守
- A.15 供給者管理
- A.16 情報セキュリティインシデントの管理
- A.17 事業継続管理の情報セキュリティの側面
- A.18 順守
ISO/IEC 27002:2013、JIS Q 27002:2014 †
組織でISMSを実践するための規範
- 27001との違いは、
- 27001は、監査、フレームワーク考案用(shall)
- 27002は、詳細な管理策の立案用(should)
- 27001の14カテゴリの管理策
最下位には、114の管理策が定義されている。
参考 †
情報セキュリティ白書 †
無償でPDFダウンロードできるらしい。