情報セキュリティ/ISMS

• 9．情報システムおよび情報セキュリティ
• ISMSを取得したときのお話
• ISMS(ISO27001)の具体的なセキュリティ対策！厳選した４つを紹介
• サイバー攻撃から身を守る、ISMS認証取得で見えた企業動向―20年前と今の変貌
• 「ISMSは業務効率の邪魔」従業員の苦情殺到…本当の原因は？

• Google ドライブ と第三者認証＆監査（ISMS、プライバシーマーク）前編
• Google ドライブ と第三者認証＆監査（ISMS、プライバシーマーク）後編

• 情報セキュリティ管理基準（平成２８年改正版） - 経済産業省
• ISMS 管理策運用規定 サンプル

• ISO27001 内部監査チェックリストサンプル

認証審査 †

• ISMSとは？取得から運用、審査における注意点まで徹底解説

初回認証審査 †

• ISMSとは？　キュービストが認証取得するまでの流れをご紹介します

第1段階（文章審査） †

第2段階（運用審査） †

認証取得後 †

1年毎：サーベイランス審査（維持審査） †

• ISOにおけるサーベイランス審査（定期審査）とは
• ISMSサーベイランス審査とは？　〜キュービストの事例をご紹介〜

• 内部監査とマネジメントレビューの実施は必須
• 前回の審査の「改善の余地」への対応
  • 前回の審査で不適合にならなかったものの、「改善の余地」として指摘された事項についても対応しておく
  • もし対応ができなかったとしても、なぜできなかったのか、今後どうする計画なのかくらいは回答できるようにしておく

• リスクアセスメントの見直し
  • 新たなリスクや脅威がリスクアセスメントシートに追加されているか？
  • リスクは適切に評価されているか？
  • リスクへの対応がされているか？

• ISMS文書の更新

• 1) 内部監査及びマネジメントレビューの実施状況
• 2) 前回審査で特定した不適合についてとられた処置の確認
• 3) 苦情処理
• 4) マネジメントシステムが企業の目的達成のために機能しているか
• 5) 継続的に改善していく上で、PDCAサイクルが回せているか
• 6) 継続して実施している業務の運用
• 7) マネジメントシステムの変更点の確認
• 8) ISO認証の使用方法の確認

3年毎：更新審査（再認証審査） †

ISMSのPDCAサイクル †

• 【図解】ISMS規格の概要についてわかりやすく解説

ISO/IEC 27001（情報セキュリティ） †

• ISO27001 ISMS 情報セキュリティマネジメントシステム - BSI

A.8 資産の管理 †

• 情報資産の分類
• 情報セキュリティで含むべき”情報資産”の具体例を解説します！

A.9 アクセス制御 †

• ISMS規格をわかりやすく解読する【A.9 アクセス制御】

ISO/IEC 27017（クラウドサービスセキュリティ） †

取得事例 †

• Stockが、クラウドセキュリティに関する国際規格「ISO 27017」を取得しました！

ISMS/ISO27001 認証取得コンサルティング †

• テクノソフト
• UPF
• LRM

情報セキュリティ管理規定 †

• 3. ISO27017管理策解説（クラウドサービスプロバイダ）

A.9 アクセス制御 †

A.9.4.3 パスワード管理システム †

• JIS Q 27001:2014の管理策について－18
• パスワードの管理方法を考えてみる

• 「対話式でなければならず」とは？
  • システムで有効期限を過ぎたらパスワード変更をしないとログオン出来ないなどの制限を行うことなどを指すらしい

• オートコンプリート機能も使うのはNG？
  • ブラウザに記録するのは危険!?ID管理・パスワード管理の落とし穴

A.11 物理的及び環境的セキュリティ †

• 来客記録や入退室記録って必須なの？
• 入退室記録の重要性とは？入口におけるセキュリティの基本を知ろう！

A.12 運用のセキュリティ †

• ISMS規格をわかりやすく解読する【A.12 運用のセキュリティ（前編）】
• ISMS規格をわかりやすく解読する【A.12 運用のセキュリティ(後編)】

A.12.1.1 操作手順書 †

A.12.1.2 変更管理 †

A.12.3.1 バックアップ †

A.12.4.1 イベントログ取得 †

• 「イベントログ」はWindowsのイベントログのことを指しているわけではない
• 認可されていないアクセスや情報漏洩の兆候を検出したり、インシデントの発生原因を調査したりするために、利用者の活動、例外処理、過失および情報セキュリティ事象を記録したイベントログを取得し、定期的にレビューすることを要求している

A.18 遵守 †

• ISMS規格をわかりやすく解読する【A.18 順守】

A.18.1.5 暗号化機能に対する規制 †

• 中国の輸出管理法

情報セキュリティの目的 †

• ISMS構築｜「情報セキュリティの目的」とは
• 情報セキュリティ方針を策定するには？情報セキュリティ目的も解説

• 情報セキュリティマネジメントシステムを確立し、実行、維持、改善に努める

情報セキュリティ計画 †

• ISMS構築｜情報セキュリティ計画の「リスク」と「機会」
• ISMS(ISO27001)情報セキュリティリスク計画書の作り方を3つのポイントで解説

リスクアセスメント †

• 情報セキュリティ リスクアセスメントの実施の手引き

• どのようなリスクが存在し（リスク特定）、それがどの程度発生しやすいのか、発生したときにどの程度の影響があるのかを明らかにし（リスク分析）、予め定められているリスク受容基準と比較してリスク評価するまでのプロセスのこと

リスク対応計画 †

• すぐできる！ISMS（ISO27001）リスク対応計画の作り方
• リスク管理のカギはリスク対応計画にあり｜流れと役割とは

情報セキュリティ対応計画 †

• ISMS運用｜「情報セキュリティリスク対応計画」の考え方

• いつまでにやるか
• 誰がやるか
• 資源は何が必要か（費用も含め）
• 何をもって計画完了と評価するか
• 誰が完了と判断するか
• 計画実施により他の管理策に影響は無いか

内部監査 †

• ISMS運用｜「内部監査」と「マネジメントレビュー」について
• ISO27001改訂！クラウドネイティブを抜き打ち内部監査してみた

適用宣言書 †

• ISMS適用宣言書の重要性と記載例｜事例からみる作成のコツ

文書管理 †

• 文書番号は必要か？いらないか？ISO9001コンサルタントが語る。

• 文書番号はあってもなくても良い
• 2020年現在、ISO9001の規格要求事項には「文書番号を付与しなければならない」という要求はなく、「文書を識別しなければならない」という要求があるだけです。
• 「文書を識別する」とは、その文書が何の文書であるか、最新の文書であるか（古い版ではないか）、判別できるようにしときなさい。ということです。

スタートアップでの事例 †

• ISMSもとったし、エンジニアだけどITガバナンス主導してきた話をする

関連ツール †

• SecureNavi