カテゴリー: 情報セキュリティ
-
ISO27001 2022 ISMS内部監査員 養成問題集を販売します。
★ 本記事のテーマ
ISO27001 2022 ISMS内部監査員 育成問題集を販売します
ISMS,ISO27001 2022 内部監査員育成問題集によって
★内部監査力
★外部審査力
★外部審査の対応力(事務局)
★組織のISMS構築力
向上につなげることができます!- ①この問題集が選ばれる理由
- ➁この教材で得られるスキル
- ③こんな方におすすめ
- ④教材の一部を公開(サンプル)
- ⑤よくある質問(FAQ)
- ⑥ご購入方法
①この問題集が選ばれる理由
ISMS内部監査員の育成は
「わかりやすい教材がない」
「実務に落とし込めない」
という悩みがつきものです。本問題集は、そんな現場の声から生まれた“実務直結型”の教材です。
- 実在しそうな組織をモデル化し、監査の流れを疑似体験できる!
- 要求事項 → 監査 → 改善提案まで一気通貫で学べる!
- 規程類一式付きで、実務のイメージがつかみやすい!
- 1万円で、審査機関講習レベルの学習が可能!
「内部監査の観点が整理できた」
「翌週の監査でそのまま使えた」など、
実務者から高い評価をいただいています。②この教材で得られるスキル
本問題集を終えると、次のような“実務で使える力”が身につきます。
- 監査チェックリストを自力で作成できる!
- 不適合の根拠を説明できるようになる!
- 改善提案の質が上がる!
- ISO27001:2022の要求事項を“運用レベル”で理解できる!
- 監査の流れを一人で回せるようになる!
単なる知識ではなく、現場で即使える力量が身につく点が最大の特徴です。
③こんな方におすすめ
本問題集を是非解いてほしい方は、
- 新任のISMS担当者!
- 内部監査員を短期間で育成したい管理者!
- ISO27001更新審査が近い企業!
- 監査経験が浅く、何を見ればいいか不安な方!
- 実務に近い教材で学びたい方!
「どの教材を買えばいいかわからない」という方にこそ、最適な内容です。④教材の一部を公開(サンプル)
本問題集の一部を公開します。
【はじめに】
本問題集で扱う組織において、ISMS,ISOの観点でこの組織をチェックしましょう。【1】組織の概要・ビジネス
本問題集で扱う舞台(組織)の概要は以下の通りです。
社名: ZZ社
–
(1) 組織の概要・ビジネス
① 業務:企業の経理代行業務
② 基本記帳業務、
③ 売上・請求・入金のシステム管理
④ 給与・労務関連の会計処理を顧客企業の業務を代行
⑤ 2顧客(社、Y社)業務を担当
⑥ 一部の業務を零細企業に発注
⑦ オフィス:ビルの1室
⑧ 社員:9名
・社長1名
・事務2名、
・X社担当3名(部長,主任,担当)
・Y社担当3名(部長,主任,担当)
⑨ 業務体系:ハイブリッドワークを許可
⑩ ISO27001取得のきっかけ
重要顧客から情報セキュリティ強化の指示を受けて、ISMSを構築し
ISO27001取得へ。
–
(2).ISO27001適用範囲
経理代行業務組織のフロア図
組織図
第1章 ISO27001 2022要求事項を用いて事前チェックを作成
【問1-1】
ZZ社のISMSにおける「内部の課題」、「外部の課題」は何か?
それぞれ多面的に列挙せよ。【問1-2】
ZZ社はISMSの「情報セキュリティポリシー」が必要になる。あなたがトップマネジメントとして「情報セキュリティポリシー」案を作成せよ。・・・(略)・・・
第1章【問1―1】~【問1―8】の解答ができましたら、
●提出メールの依頼事
題名に【ISMS内部監査・外部審査演習 第1章解答】として送付ください。
●提出先: 【QCプラネッツの送付先】
–
ある一定の解答の質があると認めた場合、
QCプラネッツから解説ブログページとパスワードを送付します。第3章 ISMS内部監査の実践演習
第3章では、実際のZZ社のISMSを見て、監査していきましょう。
ZZ社のISMSの規程類(下表)をチェックしてください。規程類一覧
【問3-1】
問2-1で作成した「質疑チェックリスト」をもとに、
ZZ社のISMSにおける「内部監査」を自主的に実行し、その監査結果をまとめよ。以上、問題集のサンプルを紹介しました。
⑤よくある質問(FAQ)
Q. 初心者でも理解できますか?
A. はい。章ごとに提出形式で進むため、段階的に理解できます。
問題集は第1章から第5章があり、
第1章から第4章の演習解説ブログ(パスワード付き)があります。–
Q. どれくらいの時間で終わりますか?
A. 2日1章ペースで進めれば、約1~2週間で内部監査員として必要な基礎力が身につきます。
一度だけでなく定期的に復習いただくとさらに学習効果が高まります。–
Q. 組織の規模に関係なく使えますか?
A. はい。小規模〜中規模組織をモデルにしているため、どの企業でも応用できます。–
Q. 問題集の構成について教えてください?
A. はい。
具体的には下表のとおりです。- 問題編
- 規程類一式
- 解説ブログ(パスワード制限)
–
Q. 問題集のアクセスについて教えてください?
A. はい。情報セキュリティ上、基本アクセスのみとさせていただきますので、ご了承ください。
具体的には下表のとおりです。ケース ブログ購入 note購入 メルカリ購入 問題編 アクセスのみ アクセスのみ 印刷して送付 規程類一式 アクセスのみ アクセスのみ アクセスのみ 解答提出 QCプラネッツに提出 QCプラネッツに提出 QCプラネッツに提出 解説ブログ パスワード制限あり パスワード制限あり パスワード制限あり ⑥ご購入方法
10,000円/1冊
とさせていただきます。ご購入よろしくお願いいたします。本問題集は
★問題編
★規程類一式
★解説ブログ(パスワード制限)
セットです。(1) 本ブログからのご購入
ご購入いただけます。ご購入後、QCプラネッツからアクセスサイト先(アクセスのみ可)をご案内いたします。データの拡散を防ぐため、ダウンロードと印刷は不可とさせていただきます。
メルカリでの販売
「QCプラネッツ」で検索ください。
noteでの販売(近日公開)
電子販売もしています。こちらへアクセスください。
noteからでもご購入できます! まとめ
「ISO27001 2022 ISMS内部監査員 育成問題集を販売します」、ご購入よろしくお願いいたします。
- ①この問題集が選ばれる理由
- ➁この教材で得られるスキル
- ③こんな方におすすめ
- ④教材の一部を公開(サンプル)
- ⑤よくある質問(FAQ)
- ⑥ご購入方法
ISMS,ISO27001 内部監査員に必要な力量がわかる
★ 本記事のテーマ
監査員教育と監査実施経験から
ISOマネジメントシステム7
で十分です。
あった方がよい程度
「意外だ」と思うでしょう。
必要な力量を
わかりやすく解説します。
- ①必要な力量
- ②情報セキュリティの専門性より抽象力が大事
- ③情報セキュリティチェックは組織全員で守り抜けることを見るべき
- ④ISMS ISO27001 内部監査員になるために必要な参考書
①必要な力量
監査員に求められる力量の通例
実際に、ISMS監査員やISO27001審査官は
ソフトウェア開発を長年やってきたプロが転身する
ケースがほとんどです。
なので、
情報セキュリティの専門性が高い方がよいと思われがちですが、
監査員に必要な力量はそうでもないです。
大事なのは
情報セキュリティが組織で本当に機能しているかが大事。
なので、マネジメントシステムの方に重みがある。
QCプラネッツの経験では、下図のように、
ISOマネジメントシステム7
で十分です。
②情報セキュリティの専門性より抽象力が大事
当然、情報セキュリティの基礎は必須
ここで注意なのは、
最低限の知識や理解は必要です。
ISOだけやっていればいいわけではありません。
情報セキュリティの勉強が必要です。
言いたいのは、
ISMS,ISO27001に携われないと
自らハードルを上げる必要は無い!
と言うことです。
QCプラネッツの経験上、
ハードウェア寄りの思考である人と
ソフトウェア寄りの思考である人が
います。
前者が不利なように見えますが、
ソフトウェア思考に翻弄される必要はありません。
【チェックください!】知っておくべき情報セキュリティのレベル
では、ISMS,ISO27001監査に求められる
情報セキュリティの専門性の高さをチェックします。
どれくらいわかるか?確認しましょう!
数問程度ですが、サンプルチェックとします。
★情報セキュリティの専門性チェック
- 「CIA」とは?
- 「http」と「https」の違いは?
- 「マルウェア攻撃」とは?
- 「ゼロディ攻撃」とは? 防御方法は?
- 「VPN」とは?あった方がよい理由とは?
- 「ウェブフィルタリング」とは?あった方がよい理由とは?
- などなど
いかがでしょうか?
難しいでしょうか?
正直
そうです!その通りです!
その周辺が理解できればOK!
後で紹介しますが、
対策の教科書1冊を手元にあればよい。
で構いません。
ISMS,ISO27001に携われないと
自らハードルを上げる必要は無い!
情報セキュリティの専門性は低くてよいようなイメージを与えるかもしれませんが、次の点はしっかりと作りこむ必要があります。
【重要】用語よりその意味を理解する
一言でいえば、
情報セキュリティの求められている「目的」をしっかりとらえろ!
が大事です。
それに対する対処方法
についての用語がたくさんあります。
でも、
と考え、
「統体」していく思考を持ってください。
リスクアセスメントを総合的にみてもよいですが、下図のようにシンプルに集約できます。シンプルになるように統体して考え抜きました。
そして、
例えば、
監査員としてどう答えるべきか?
★ ×な回答
VPNとはVirtual Private Networkの事です。
(相手は混乱するし、だから何なの?です。)
★○な解答
インターネットに入ると外の不審者が侵入してくるリスクがあります。なので、自分たちだけの空間の中だけネットできるようにして、外部侵入を防ぐものです。
(わかりやすいし、相手がどう防御すべきかも理解できる。)
丸暗記ではなく、目的を理解し、
自分なりに層別することが大事です。
これができれば、専門用語はそれほど怖くありません。
【一番重要】組織全体がセキュリティ対応できる仕組・運用ができているかの方がよっぽど大事
あなたの情報セキュリティの専門性より、
相手の組織が情報セキュリティ向上につながることの方が
もっと大事!
ですよね!
たくさん人がいる組織全体である一定以上の
セキュリティを担保させなければいけません。
となると、
求められる情報セキュリティ活動ができているか?
一番脆く、ショボい所が狙われるリスクを
見つけて、処置して、回避できるか?
をしっかり見る力量の方が大事です。
QCプラネッツは
両方見ておいてほしい
と願っています。
マネジメントシステムの基礎であり、理解しやすいISO9001を軸に、
情報セキュリティ寄りなISO27001へ広げていく視野が
組織とって良い監査質疑・評価ができるようになると分かっています。
①でも述べた通りですが、具体的に抽象化する方法を解説します。
【重要】情報セキュリティとは詰まる所、それは何か?
という問いを自問しましょう。これが一番大事!
QCプラネッツは
防犯体制が万全な豪邸で
●どう守るのか?
●逆に、どうやって侵入するか?
を考えていけば、
自ずと手段がわかってくる。
情報セキュリティも防犯も全く考え方は同じ。
●防犯体制が万全な豪邸で、外部侵入が難しいことが容易に想像つきます。だから内部を狙う(内部不正・情報漏洩)
●強い相手を倒すことより、弱くてトロイ者が狙われる。(正面突破より脆さ・騙しで侵入)
シンプルにこれくらいしかありません。
カタカナ用語で、難しいサイバー攻撃と言われると何か怖いイメージがありますが、よく考えるとやること、守ることはそれほどありません。
監査質疑ができるために抽象力は必須
監査で一番神経を使うのが、
です。
専門性を確認しても意味がないし、
組織の情報セキュリティ強化につながる問いでなければ意味がない。
なので、専門知識を自分の言葉で説明ができ、相手にどう動いてもらうかを伝えるところまで、考え抜く必要があります。
③情報セキュリティを組織全員で守り抜くことが一番大変
情報セキュリティに対する組織という相手を知りましょう。
2,6,2の法則
情報セキュリティに限らず、「2,6,2の法則」は一般に成り立ちます。
●6 面倒くさい、興味がないと無風の人
●2 トロく、何かしでかすかもしれない人
監査質疑対応する側は、
です。
大事なのは、
下の2の人や無風の6の人が情報セキュリティのカモにされやすい!
このあたりを守り切れるか。
です。
組織の情報セキュリティは
どこか1か所でも突かれるとインシデントになってしまいます。
それを気づかせる監査質疑が必要。
やる気がない人や、トロイ部分をどうやって
良くしていけばいいのでしょうか?
監査ポイント
組織全員へ浸透させ、行動に移せているかを監査でみましょう。
●どんな汗をかいているのか?
●組織が動機づけするための苦労があるかどうか?
●組織メンバーが自分事としているのか?
●要求事項の番号にあてはめより、組織が本当に機能しているかをチェックしたい。
そのためには、
相手の組織に近い組織を想定して
情報セキュリティでどんな活動や課題があるかを
想定して監査でみていくこと
情報セキュリティの専門用語や要求事項はその後でもよい。
となるはずです。
④ISMS ISO27001 内部監査員になるために必要な参考書
ここまで読んでいただければ、わかると思います。
- 情報セキュリティマネジメント試験対策用の教科書1冊
- ISO9001 の本1冊
- ISO27001 の本1冊
でOKです。
余力があれば、
IPA(情報処理推進機構)の情報セキュリティ10大脅威20XX年
の事例をチェックし、なぜ発生したかを考える演習をしてください。
最初は、知識や情報を暗記で安心しますが、
監査はその情報から課題抽出・解決を導く思考力が
求められます。
専門用語の正確さも大事ですが、
目的達成に必要な提案力・思考へシフトしていけば、
立派な監査質疑ができるようになります。
頑張りましょう
まとめ
以上、「ISMS,ISO27001 内部監査員に必要な力量がわかる」を解説しました。
- ①必要な力量
- ②情報セキュリティの専門性より抽象力が大事
- ③情報セキュリティチェックは組織全員で守り抜けることを見るべき
- ④ISMS ISO27001 内部監査員になるために必要な参考書
ISMS,ISO27001 組織に必要な規程類がわかる
★ 本記事のテーマ
多くの要求内容を求められる
ISMS,ISO27001ですが、
組織に必要なルールとは
具体的にどんなものかは
あまり知られていません。
組織で必要最低限のルールを解説し
ISMSの構築の仕方をお伝えします。
ルールだらけになり
運用が厳しくなる。
それこそ、サイバーリスクが高まってしまう!
- ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
- ②必要な規程類の概要を解説!
- ③規程類一覧
①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
大事なのは
背景を理解することです。
当然、組織の初期の状態は、
情報セキュリティは気持ちはあっても、ルール等は未整備です。
その組織にいろいろな苦労を経て
ISMSが構築されていったはずです。
その経緯、流れを理解することが大事です。
関連ブログ記事にて、確認ください。
 |
【リンク】【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる どんな背景・理由を経て、ISMSを構築していったのか?をわかりやすく解説します。 |
②必要な規程類の概要を解説!
リンクの解説記事のとおり、
必要な規程類がいくつかあります。
その規程類の種類、目的、必要な要求事項を下表にまとめます。
ISMS運営に何が必要かを
具体的にイメージすることができます。
ここまで具体的に紹介する記事が
意外とないので、
QCプラネッツから紹介します。
③ 規程類一覧
個別に見ていきます。
(1)情報セキュリティーポリシー
★目的
★必要な要求事項
・法令・規制・契約の遵守
・情報セキュリティ管理体制
・リスク管理
・教育・訓練
・インシデント対応
・継続的改善
・方針(情報セキュリティポリシー)の公開
(2)ISMSマニュアル
★目的
★必要な要求事項
・引用規程(ISO27001)
・組織内の用語・定義
・組織内規程類とISO27001要求事項との関係
・組織体制(体制図、ネットワーク図、フロアーズ、緊急体制図)
(3)情報セキュリティ運営管理規程
★目的
★必要な要求事項
・コミュニケーション(情報セキュリティ会議)
・組織間の協力(社内外)
・外部委託契約におけるセキュリティ要求事項
・情報セキュリティマネジメントシステム目標・計画・実行
・マネジメントレビュー
・文書管理(文書管理規程としてもよい)
(4)リスクマネジメント管理規程
★目的
★必要な要求事項
・情報資産の分類・評価
・リスクアセスメント評価・運用
・リスク低減施策・運用
(5)適合性管理規程
★目的
★必要な要求事項
・知的所有権を遵守するための実施事項
・ライセンス管理
(6)システムの開発および保守管理規程
★目的
★必要な要求事項
・技術的脆弱性の管理
・構成管理
・データマスキング
・データ漏洩防止
・情報のバックアップ
・ログ・監視・保護
・ネットワーク管理
・ウェブフィルタリング
・暗号管理
・開発環境管理
(7)事業継続管理規程
★目的
★必要な要求事項
・インシデントからの復旧目標
・インシデント対応手順
・平時の維持管理
・リスクアセスメントの実施と評価
・事業継続計画テストの運用・評価
(8)アクセス管理規程
★目的
★必要な要求事項
・特権的アクセス権の管理
・モバイル機器の方針
・リモートワーク
・供給者関係
(9)物理的・環境的管理規程
★目的
★必要な要求事項
・物理的入退
・装置のセキュリティ・保守
(10)人的セキュリティ管理規程
★目的
★必要な要求事項
・教育・力量
・懲戒
・情報削除
(11)内部監査管理規程
★目的
★必要な要求事項
・監査計画
・監査実施手順・結果報告
・是正処置
(12)外部審査管理規程
★目的
★必要な要求事項
・審査の実施
・審査結果と処置
(13)是正処置管理規程
★目的
★必要な要求事項
・処置手順
・処置の有効性評価
(14)セキュリティ事件・事故管理規程
★目的
★必要な要求事項
・情報セキュリティインシデントを想定
・事故発生時の報告指示体制
・事業継続管理
・懲戒手続き
・再発防止対応
いかがでしょうか。
1つずつ見ていけば、
項目だけでも、
あなたの組織でやるべきことが
具体的に見えるはずです。
組織にISMSの必要性
ISMSで何をしたいか?
をしっかり構想することが大事です。
まとめ
以上、「ISMS,ISO27001 組織に必要な規程類がわかる」を解説しました。
- ①【リンク】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
- ②必要な規程類の概要を解説!
- ③規程類一覧
【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる
★ 本記事のテーマ
多くの要求内容を求められる
ISMS,ISO27001ですが、
どの組織も最初から細かくルールを
構築・運用しているわけではありません。
組織で必要最低限のルール運用から
ISMS,ISO27001要求レベルまでの上げ方を
解説します。
少しずつ上げていかないと
組織が追い付かないことを
意識しましょう。
- ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
- ②ISMS化する前の組織の状態
- ③ISMS化するステップを解説!
①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
まず、ゴールである、
ISMS,ISO27001 運用する組織に
必要な規程一覧を
紹介します。
関連ブログ記事にて、確認ください。
 |
【ISMS,ISO27001 運用する組織に必要な規程が何かがわかる】リンク 情報セキュリティは煩雑な運用になりがちなため、必要最低限にするコツが大事! |
規程類一覧
リンクのとおり、
情報セキュリティは品質管理より要求事項が多いため、
必要最低限の規程類でまとめることが大事です。
その一覧は
| No | ISMS | 目的 |
| 1 | 情報セキュリティーポリシー | 経営陣からの情報セキュリティに対する宣言 |
| 2 | 情報セキュリティ運営管理規程 | ISMS体制・責任を定めたもの |
| 3 | 文書化した情報の管理 | 文書管理方法 |
| 4 | ISMSマニュアルの発行・管理 | 規程類以外で、必要な定義をまとめたもの |
| 5 | セキュリティ事件・事故管理規程 | インシデント発生時の対応方法 |
| 6 | 人的セキュリティ管理規程 | 力量向上に必要な要求事項 |
| 7 | 是正処置管理規程 | 不適合、インシデント発生後の処置方法 |
| 8 | 内部監査管理規程 | 内部監査運用 |
| 9 | 外部審査管理規程 | 外部審査運用 |
| 10 | 事業継続管理規程 | 不慮の災害・事故に対する被害を最小化するルール |
| 11 | アクセス管理規程 | アクセス管理方法 |
| 12 | 物理的・環境的管理規程 | 業務フロアー内のルール |
| 13 | リスクマネジメント管理規程 | リスクへの対応方法 |
| 14 | 法規制管理 | 情報セキュリティ法規制関連 |
運用に必要な規程類・マニュアルの詳細を紹介
上の表にて、
・それぞれの規程類の目的
・規程類以外にISMSマニュアルを追加
を加えます。
それを下表でまとめます。
| 行 | 番号 | 文書一覧 |
| 1 | (1) | 情報セキュリティーポリシー |
| 2 | (2) | ISMSマニュアル |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 6 | 4 | 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図) |
| 7 | (3) | 情報セキュリティ運営管理規程 |
| 8 | 1 | 年間情報セキュリティ目標 |
| 9 | 2 | 情報セキュリティ委員会録 |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 12 | 5 | 外部委託における契約書,SLA |
| 13 | 6 | マネジメントレビュー報告書 |
| 14 | 7 | マネジメントレビュー議事録 |
| 15 | 8 | 文書管理台帳 |
| 16 | (4) | リスクマネジメント管理規程 |
| 17 | 1 | 情報資産台帳 |
| 18 | 2 | 重要資産持ち出し管理台帳 |
| 19 | 3 | リスクアセスメント表 |
| 20 | (5) | 適合性管理規程 |
| 21 | 1 | 法規制管理台帳 |
| 22 | 2 | ライセンス管理台帳 |
| 23 | (6) | システムの開発および保守管理規程 |
| 24 | 1 | ブロックリスト |
| 25 | (7) | 事業継続管理規程 |
| 26 | 1 | 訓練記録 |
| 27 | 2 | バックアップ確認表 |
| 28 | 3 | 復旧手順書 |
| 29 | 4 | 事業継続計画テスト結果記録 |
| 30 | (8) | アクセス管理規程 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
| 33 | 3 | 誓約書 |
| 34 | 4 | リモートワーク許可申請書 |
| 35 | 5 | 情報セキュリティー供給者レビューチェックリスト |
| 36 | (9) | 物理的・環境的管理規程 |
| 37 | 1 | 入退室管理台帳 |
| 38 | 2 | 来訪者入退室管理台帳 |
| 39 | 3 | 作業報告書 |
| 40 | 4 | 情報資産台帳廃棄管理台帳 |
| 41 | (10) | 人的セキュリティ管理規程 |
| 42 | 1 | 力量管理表 |
| 43 | 2 | 力量認定要件表 |
| 44 | 3 | 教育・研修アンケート |
| 45 | 4 | 教育・研修受講記録管理台帳 |
| 46 | (11) | 内部監査管理規程 |
| 47 | 1 | 内部監査員リスト |
| 48 | 2 | 内部監査計画書 |
| 49 | 3 | 内部監査結果 |
| 50 | 4 | 内部監査報告書 |
| 51 | (12) | 外部審査管理規程 |
| 52 | 1 | 改善機会一覧表 |
| 53 | (13) | 是正処置管理規程 |
| 54 | 1 | 是正処置要求・報告書 |
| 55 | (14) | セキュリティ事件・事故管理規程 |
| 56 | 1 | セキュリティ事件・事故報告書 |
必要最低限なものまで絞りましたが、それでもかなりの文書が必要だとわかりますね。
②ISMS化する前の組織の状態
どの組織でも、最初からISMS,ISO27001には対応していません。
情報に対するルールや運用方法がある程度でしょう。
ISMS化する前の組織運用
自分たちなりに必要なルールや運用方法はどんなものかを列挙しましょう。
| 行 | 番号 | 文書一覧 |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
ぐらいでしょう。
組織に関する基本情報、会議録、アカウント設定くらいがある程度でしょう。
ISMS,ISO27001レベルに必要な
規程類・文書を構築していきましょう。
③ISMS化するステップを解説!
大事なことは、
不確定要素(リスク)が全くなければ、
何もしなくていい。
でも、
逆に、情報セキュリティへのアピールによる高評価を得たい
などを受け、
ISMS,ISO27001レベルに
上がっていくわけです。
これから、1例として4つステップで
組織が情報セキュリティへの取り組み強化する
様子を解説します。
- 【ステップ1】情報セキュリティトラブルが起きてしまった。
- 【ステップ2】トラブルが頻発するようになった。
- 【ステップ3】顧客、ビジネスパートナーへのリスク回避必須となった
- 【ステップ4】ISMS構築、ISO27001取得が必須となった。
1つずつ見てきましょう。
【ステップ1】情報セキュリティトラブルが起きてしまった。
気持ちとしては、本来はやりたくない業務です。
しかし、そんな組織にトラブルが発生することで
仕方がなく、対策を取り始めるのが現実
です。
意外と思うかもしれませんが
身近で地味なミスが始まる!
だけど、
それを放置しておくと
致命傷になりうるトラブルに
発展します。
品質、環境などの管理系において、だいたい当てはまります。
具体的には、
- フィッシングメール・マルウェア添付ファイル
- メール誤送信・添付ミスによる情報漏えい
- パスワード使い回し・弱い認証による不正ログイン
- ランサムウェアによる業務停止(バックアップ不備)
- ノートPC・USBメモリ・紙資料の紛失・盗難
このような攻撃を受けて、被害に遭って初めて
対策を投じることになります。
★対策
ちょっとしたルール化や
ルールを運用するための文書・帳票が
登場するようになります。
| 行 | 番号 | 文書一覧 |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 6 | 4 | 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図) |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 27 | 2 | バックアップ確認表 |
| 28 | 3 | 復旧手順書 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
| 55 | (14) | セキュリティ事件・事故管理規程 |
| 56 | 1 | セキュリティ事件・事故報告書 |
上表の黄色マーカー部分が追加されるでしょう。
・緊急体制
・バックアップ・復旧
・事故報告書
などの必要最低限のものが追加されることが
イメージできますね。
【ステップ2】トラブルが頻発するようになった。
【ステップ1】で済めばここでEndですが、
最初は軽視していても、
さすがにまずい!となり、
目先のトラブル回避だけでなく
ルール運営が必要となります。
ルール運営化するために、
規程がいくつか増えます。
表で追加部分を見てみましょう。
| 行 | 番号 | 文書一覧 |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 6 | 4 | 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図) |
| 7 | (3) | 情報セキュリティ運営管理規程 |
| 9 | 2 | 情報セキュリティ委員会録 |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 12 | 5 | 外部委託における契約書,SLA |
| 16 | (4) | リスクマネジメント管理規程 |
| 17 | 1 | 情報資産台帳 |
| 18 | 2 | 重要資産持ち出し管理台帳 |
| 25 | (7) | 事業継続管理規程 |
| 27 | 2 | バックアップ確認表 |
| 28 | 3 | 復旧手順書 |
| 30 | (8) | アクセス管理規程 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
| 36 | (9) | 物理的・環境的管理規程 |
| 37 | 1 | 入退室管理台帳 |
| 38 | 2 | 来訪者入退室管理台帳 |
| 39 | 3 | 作業報告書 |
| 40 | 4 | 情報資産台帳廃棄管理台帳 |
| 41 | (10) | 人的セキュリティ管理規程 |
| 42 | 1 | 力量管理表 |
| 44 | 3 | 教育・研修アンケート |
| 55 | (14) | セキュリティ事件・事故管理規程 |
| 56 | 1 | セキュリティ事件・事故報告書 |
いかがでしょうか。
上表からいくつか規程が登場しています。
- 情報セキュリティ運営管理規程
- リスクマネジメント管理規程
- 事業継続管理規程
- アクセス管理規程
- 物理的・環境的管理規程
- 人的セキュリティ管理規程
情報セキュリティ対策を
組織で運用するために、
ルール整備が整ってきます。
【ステップ3】顧客、ビジネスパートナーへのリスク回避必須となった。
【ステップ2】でも十分かと思いますが、
それなりにセキュリティレベルが上がったとはいえ、
内外の環境状況をみて、
が必要と感じるでしょう。
ルールができたとはいえ、形骸化するのは時間の問題でもあり、
有効に機能させるための組織化が必要となります。
表で追加部分を見てみましょう。
| 行 | 番号 | 文書一覧 |
| 1 | (1) | 情報セキュリティーポリシー |
| 3 | 1 | 適用範囲関連資料(1.組織図) |
| 4 | 2 | 適用範囲関連資料(2.周辺地図・ビル全体図・フロア図) |
| 5 | 3 | 適用範囲関連資料(3.ネットワーク図) |
| 6 | 4 | 適用範囲関連資料(4.ISMS推進体制図&緊急連絡体制図) |
| 7 | (3) | 情報セキュリティ運営管理規程 |
| 8 | 1 | 年間情報セキュリティ目標 |
| 9 | 2 | 情報セキュリティ委員会録 |
| 10 | 3 | プロジェクト会議録 |
| 11 | 4 | 稟議書 |
| 12 | 5 | 外部委託における契約書,SLA |
| 15 | 8 | 文書管理台帳 |
| 16 | (4) | リスクマネジメント管理規程 |
| 17 | 1 | 情報資産台帳 |
| 18 | 2 | 重要資産持ち出し管理台帳 |
| 20 | (5) | 適合性管理規程 |
| 21 | 1 | 法規制管理台帳 |
| 22 | 2 | ライセンス管理台帳 |
| 23 | (6) | システムの開発および保守管理規程 |
| 24 | 1 | ブロックリスト |
| 25 | (7) | 事業継続管理規程 |
| 26 | 1 | 訓練記録 |
| 27 | 2 | バックアップ確認表 |
| 28 | 3 | 復旧手順書 |
| 29 | 4 | 事業継続計画テスト結果記録 |
| 30 | (8) | アクセス管理規程 |
| 31 | 1 | アカウント管理台帳 |
| 32 | 2 | アカウント申請書 |
| 33 | 3 | 誓約書 |
| 34 | 4 | リモートワーク許可申請書 |
| 36 | (9) | 物理的・環境的管理規程 |
| 37 | 1 | 入退室管理台帳 |
| 38 | 2 | 来訪者入退室管理台帳 |
| 39 | 3 | 作業報告書 |
| 40 | 4 | 情報資産台帳廃棄管理台帳 |
| 41 | (10) | 人的セキュリティ管理規程 |
| 42 | 1 | 力量管理表 |
| 44 | 3 | 教育・研修アンケート |
| 45 | 4 | 教育・研修受講記録管理台帳 |
| 53 | (13) | 是正処置管理規程 |
| 54 | 1 | 是正処置要求・報告書 |
| 55 | (14) | セキュリティ事件・事故管理規程 |
| 56 | 1 | セキュリティ事件・事故報告書 |
上表からわかるように、組織化によって、
下の項目が追加されました。
- 情報セキュリティーポリシー
- 年間情報セキュリティ目標
- 適合性管理規程
- 法規制管理台帳
- ライセンス管理台帳
- システムの開発および保守管理規程
- 事業継続計画テスト結果記録
- 誓約書
情報セキュリティ対策を
組織で運用するために、
ルール整備が整ってきます。
【ステップ4】ISMS構築、ISO27001取得が必須となった。
【ステップ3】レベルまで組織運用できていれば、
となるでしょう。
あとは、
具体的には、
- ISMSマニュアル
- マネジメントレビュー
- リスクアセスメント
- 情報セキュリティー供給者レビュー
- 内部監査
- 外部審査
が追加されます。
すでに、組織でISMS運用が機能されているので、
追加対応はそれほど大変でもないでしょう。
全ステップのまとめ
【ステップ0】から【ステップ4】までの変化を図でまとめます。
本記事のやり方が絶対ではなく、
組織によって、若干の味付けの違いはあるでしょう。
ただ、いきなり、
ISMS,ISO27001要求レベル
へ組織をもっていくのは、
無理なので、
1つずつステップを刻む必要があります。
まとめ
以上、「【重要】組織がゼロからISMS(ISO27001)水準に引き上げる手順がわかる」を解説しました。
- ①【リンク】ISMS,ISO27001 運用する組織に必要な規程が何かがわかる
- ②ISMS化する前の組織の状態
- ③ISMS化するステップを解説!
ISMSマニュアルの作り方(シンプルがベスト)がわかる
★ 本記事のテーマ
ISOでは必須ではなくなったマネジメントマニュアルですが、
割と提出が求められるものです。
手間をかけないためにも
シンプルであることが最も大事です。
- ①マネジメントシステムのマニュアル
- ②ISMSマニュアルの注意点
- ③ISMSマニュアルをシンプルに作成することが重要
①マネジメントシステムのマニュアル
品質にも、「品質マニュアル」があります。
品質マニュアルの書き方や運用について
ブログ記事を紹介します。
 |
【品質マニュアルがわかる】リンク 書き方、運用のポイントをわかりやすく解説します! |
元々は最上位の重要文書だった
マネジメントシステムのマニュアルは
元々は最上位文書でした。
ISO要求事項は、文書管理をベースとしていたのが背景です。
現在のマニュアルはオプションの位置
ISO9001 2015以降、マニュアルは
ISOの最上位文書から、
オプションの位置でよいと
暗に伝えています。(明確には書いていませんけど)
その理由は、
文書化した情報
へ変わったからです。
でも、マニュアル提出を要求される場合が割と多いから作成する
じゃー、マニュアルは要らない!のか?
というと、
例えば、
- 監査、審査にむけて、組織のマニュアルを提出要求される。
- 「品質マニュアル」の場合、「公共案件受注」の時に顧客から提出要求される。
- マニュアル整備しておくと、印象がよい。
- 自組織の規程類だけで定義しきれないものがある。
なので、
ただし、手間がかかるのでシンプルにしたいですよね。
よくあるマニュアル構成
いろいろな組織の監査や、
マネジメントシステムの講習演習などで、
マニュアルを見てきました。
ほとんどのマニュアル構成は以下となっています。
自組織の場合を追記する。
品質マニュアルの場合だと40ページくらいになる
手間がかかるがそれなりに仕事している感じになる。
②ISMSマニュアルの注意点
注意点は、
マニュアルにすると大変!
ISO27001では、
30超の要求事項+93管理策
があります。
この文面を写し、
さらに、自組織の場合を追加すると、
一回100ページ超のISMSマニュアルをみたことがありました。
なぜ大変かというと、
- ページ数が多く手間。
- 各内容との整合を合わすのがもっと手間。
- マニュアル整備から承認まで手間。
- マニュアルと自組織の規程や運用との整合を合わせるのも手間。
手間だらけです。
③ISMSマニュアルをシンプルに作成することが重要
なので、
です。
では、どうすればシンプルに作成できるかを解説します!
- ISO要求事項は自組織の規程類に落とし込む。
- ISMSマニュアルは規程類などでもどうしても書けない情報と、ISMSの構築構成のみ書けばよい。
- 提出要求される場合、ISMSマニュアルと自組織の規程類をセットで提出すればよい。
どうでしょうか?
マニュアルの設計図
過去に作ったマニュアルを
急に全く異なる構成なマニュアルに
になる点は慎重にすべきですが、
マニュアルの設計図を提唱します。
★マニュアルの中に、必要なもの
マニュアルの中に、必要なものは、
- 適用範囲
- 適用事業
- 引用するISO27001
- 自組織の用語定義
- 自組織の組織体制
- 規程類一覧、
規程類とISO27001要求事項+管理策との関係
★マニュアルの外にしたいもの
としたいです。
こうすれば、ISMSマニュアルが20ページ以内に収まり、
規程類の更新の時だけ、個々のISO27001要求事項+管理策との関係
をチェックすれば効率的な運用ができるからです。
ISMSは大事ですが、煩雑になりやすく
煩雑になると情報セキュリティインシデントの際
身動きがとれなくなります。
そうならないように、シンプルな構成がベストです。
ISOでは必須ではなくなったマネジメントマニュアルですが、
割と提出が求められるものです。
手間をかけないためにも
シンプルであることが最も大事です。
まとめ
以上、「ISMSマニュアルの作り方(シンプルがベスト)」を解説しました。
- ①マネジメントシステムのマニュアル
- ②ISMSマニュアルの注意点
- ③ISMSマニュアルをシンプルに作成することが重要
疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)
★ 本記事のテーマ
インシデント発生は「恐怖・不安」ですが、
本当ですか?
煩雑な運用である、情報セキュリティだけに、
冷静であることが最も大事です。
- ①情報セキュリティインシデント事例
- ②ありがちな恐怖
- ③その恐怖は本当なの?
- ④恐怖・不安を仰ぐ理由
- ⑤情報セキュリティインシデントの真因を隠す傾向が強い
- ⑥サイバー攻撃する方も実は大変苦労している
- ⑦情報セキュリティインシデント対策でやるべきこと
①情報セキュリティインシデント事例
いくつか事例を挙げます。
- 大病院がサイバー攻撃を受け、医療機能が数カ月麻痺。
- 大企業がサイバー攻撃を受け、受発注が麻痺。
- サイバー攻撃が年々増加。国内では1日数百万回(前年度1.5倍)を記録
どうでしょうか?
とスイカのヘルメットをかぶったバイクのおじさんが来そうです(笑)。
②ありがちな恐怖
「情報セキュリティインシデント」と聞くと、どうでしょうか?
- 情報セキュリティを徹底しているが、いつ外部攻撃されるかわからない恐怖。
- 情報セキュリティ防御力を超える外部攻撃があるかもしれない恐怖。
- インシデントが発生するととんでもない大変な対応に迫られる恐怖。
が伝わってきます!
とスイカのヘルメットをかぶったバイクのおじさんが来そうです(笑)。
③その恐怖は本当なの?
恐怖にかられると、天邪鬼なQCプラネッツは
「ホンマにそうなの?」
「しっかり対策を取っていても攻撃でやれらるの?」
「ぶっちゃけインシデント発生した真相はどうなの?」
と疑ってしまいます。
公になっている情報を鵜呑みせず、一旦冷静になりませんか?
④恐怖・不安を仰ぐ理由
このテーマですが、あえて、考えましょう!
恐怖・不安を仰ぐのか?
この意地悪な問いに対して、
理由がなければ、
情報セキュリティインシデントは本当に恐怖だと
思います。
天邪鬼なQCプラネッツはこの問をこう考えます。
なぜ恐怖・不安をあおるのか?
いくつか考えてみました。
- 気を付けてほしいから(これはわかる!)
- 不安ビジネスに乗せたい
(「これくらい大丈夫!」と言う情報セキュリティ専門家がいない) - 本当は、ヘボい理由で攻撃くらっただけなのに、
大変さを演出して情報セキュリティの高さを誇張したい
こういう情報ばかりだと、不安になるし、
専門家にすがりたくなります。
でも、それは相手の思う壺かもしれません。
本当に知りたいこと
本当に知りたいのは、
に対して
どの攻撃力でダメージを受けたのか
です。
我々がいつも想像するのは、下図のように、
(1)普段からあるべき防御力があるが、
(2)それを上回る攻撃を受けた。
だから、情報セキュリティインシデントは怖い!
であれば、仕方がないし、納得できます。
しかし、実体はどうでしょうか?
我々がいつも想像するのは、下図のように、
(3)普段からあるべき防御力があるが、
適正な運用がなく、本来の防御力が機能していない。
または、実は防御力そのものが低かった。
だから
他社なら回避できる程度の攻撃でもインシデントになってしまった。
可能性もあるでしょう。
しかし、
実体(本来の実力)を知らない(公表されない)から
名のある企業なら
「情報セキュリティ体制は万全なのにどうして?」
と過大評価することも考えられる。
実情を冷静かつ客観的に見る必要があります。
そのために、「報告書」が公表されています。
しかし、
これは、なぜでしょうか?
⑤情報セキュリティインシデントの真因を隠す傾向が強い
会計、品質、環境、情報セキュリティなどの管理すべきものは、
不正や法令違反がある場合、組織・企業は真因究明と再発防止を
コミットするために報告書を公表しています。
品質不正は必ず真因を報告書に載せる
品質不正事例は、QCプラネッツのブログ記事でまとめています。
 |
【まとめ】品質不正がよくわかる |
だから、さらに深部へ分析ができる。
どの報告書も、真因は明快に書かれています。
情報セキュリティインシデント報告書は真因を明示しない
一方、情報セキュリティインシデントは
報告書に真因を明示しない、
公表しない場合が
多いです。
それには理由があるからです。
★理由
犯罪の手口を明示すると再犯されるリスクがある。
確かに、納得がいく理由です。
しかし、1つ注意が必要で、
本来、組織が改善すべきポイントが露わにならないため、
改善したと後日公表しても、本当かどうかは疑わしいかもしれません。
組織改革にはエネルギーと時間がすごくかかります。
その間に、再攻撃受けるリスクが残っています。
情報セキュリティインシデント真因をあるある
とはいえ、
数件ですが、
真因を明示している事例もあります。
(本当にありがたいです!)
その事例を紹介します。
★ 真因
- 名のある大企業だが、情報セキュリティ専門者が0.5人(他業務と兼任)。
- 大病院だが、管理者パスワードが初期設定のままだった。
- 業務中に、NGなサイトをクリック・ダウンロードしてしまった。
- インシデント対策訓練
確かに、
・報告書では体制強化、モラル・意識向上など
難しく、それらしい言葉が並ぶが、
上の理由を見れば、
「そりゃ、ダメでしょう!」
と言いたくなるものが意外と多いです。
名のある企業・組織だからと
過大評価せず、
何が真因なのかをよく考え、調べる必要があります。
⑥サイバー攻撃する方も実は大変苦労している
サイバー攻撃は確かに怖いけど。。。
1日、数百万件のサイバー攻撃を我々は受けています。
確かに、怖い!
でも、ここでも冷静に考えてみましょう。
攻撃力が上がれば、相手の防御力も上がる
20年前は、確かに世界的なサイバー事件がニュースになり、
知り合いがその対象になったことを思い出します。
しかし、
すぐに対策が講じられ、
それほど深刻ではないと
いう冷静な目線も必要です。
攻撃は犯罪行為であり、逮捕されるリスクがあります。
一方、防御は良い行為であり、評価されるメリットがあります。
攻撃?
防御?
どちらで飯を食いますか?
明らかに、後者ですよね。
多数の攻撃のイメージ
など、考えると、
すぐに対策が講じられ、
それほど深刻ではないと
いう冷静な目線も必要です。
★ハッキングのイメージ
ハッキング攻撃のイメージは
下図のように、
組織のセキュリティの壁を叩きまくって
力で壁を壊し内部に侵入する
とよく思われているはずです。
しかし、実際は、防御力も高く、外部から力で侵入するのは難しいです。
実際は、下図のように、
道にとりあえず、ハッキングする種をばらまき
そこに引っかかる獲物を捕まえる
方が現実的ではないでしょうか。
「道に放置された動物の糞を避けれるのに、
うっかり踏んでしまった」
のが情報セキュリティインシデント
というイメージがわかりやすいでしょう。
⑦情報セキュリティインシデント対策でやるべきこと
では、どのような対策をすればよいでしょうか?
情報セキュリティインシデント対策
大事なのは、
●レベルの高いことをやるな!(組織全員では無理)
●外部攻撃より、身近なミス・不正防止を徹底(その方が確実)
でしょう。
難しく、たくさん対策して万全と言えば、
かっこいいと思いがちですが、それは無理で、逆効果です。
●簡単なアクションを組織全体で回すことに一番注力すべきです。
当たり前のことを、皆でやる!
がISMSであり、
ISO27001です。
まとめ
以上、「疑心暗鬼に陥りがちな「情報セキュリティインシデント」(冷静になれ!)」を解説しました。
- ①情報セキュリティインシデント事例
- ②ありがちな恐怖
- ③その恐怖は本当なの?
- ④恐怖・不安を仰ぐ理由
- ⑤情報セキュリティインシデントの真因を隠す傾向が強い
- ⑥サイバー攻撃する方も実は大変苦労している
- ⑦情報セキュリティインシデント対策でやるべきこと