「日常語:ISO27001」は、まだ完成というわけではありません。まだ、口語訳:ISO9001ほどは流れる様な表現になっていませんし、項目毎の表現の統一性もいまひとつです。閲覧者の皆様などから色々寄せられる意見などを参考に”継続的に改善”していきます。
その変更の告知のため、また少しずつISO27001を理解しようと言う人のため、毎週1項目くらいずつ最新版をお送りしようという次第です。
毎週約1項目ずつ、順繰り順繰りお届けしますので、途中のどこから購読頂いても半年ほどで全項目を制覇する事が出来ます。筆者のやりがいの為にも、是非たくさんの方に登録して頂きたくお願い致します。
初歩から始められる方でも、毎週1項目ずつぐらいなら無理なく理解できると思います。むしろ、全項目理解するのに、半年もかかってしまう方が欠点かもしれませんね。その場合は、既に公開されているWebを併用して下さい。
口語訳ISO14001の経験をもとに、日常語:ISO27001でも情報セキュリティ新事情を同時に掲載していきます。
ボリューム的には50行前後くらいずつにしていきます。情報セキュリティは、環境よりもめまぐるしく事情が変わりますから、ネタ切れの心配はないでしょう。毎週発生している情報セキュリティ事件とその原因分析を解説していくだけでも永遠に保ちますが、20〜30号分くらいのネタストックがあります。情報セキュリティ新事情の為だけの購読も歓迎します。
尚、筆者自身もどんなネタを掲載して、どのネタがまだなのか把握出来なくなってきましたから、その参照を兼ねて情報セキュリティ新事情INDEXを、作成しています。こちらもご利用下さい。
このページの下の方に、見本を掲載します。
バックナンバーへ 日常語:ISO27001トップへ 全体のトップへ
日常語:ISO27001 with 情報セキュリティ新事情 (マガジンID:0000146756)
メールマガジン登録
Powered by
(見本)
==================================
No. 見本 05.01.01
◆◆◇◇◆◆◇◇◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆
日常語:ISO27001 with 情報セキュリティ新事情
◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◇◇◆◆◇◇◆◆
皆様、明けましておめでとうございます。今年が皆様にとって良い年で
ありますようにお祈り申し上げながら、見本号をお送りします。
口語訳:ISO14001メルマガでもあったのですが、第1号はひょっとすると
見本号に近い内容になってしまうかもしれません。購読者全員が、見本を
読んでいるとは限りませんので...
★情報セキュリティ新事情−−−−−−−−−−−−−−−−−−−−−−−−
情報セキュリティ事件の原因は、一昔前では内部要因(社内犯)が90%と
言われましたが、1年少し前はもう30%以下になっていました。04年には
もはや5%未満で、ほとんどが外部犯行です。
(ちなみに、情報セキュリティの世界では3〜5年で一昔です。)
その中でも特に多いのが「車上狙い」。04年に報道された情報セキュリ
ティ事件の70%ほどを占めていました。車上狙いの場合1件々々の被害
が小さいので、発表されなかったり、報道されなかったり、報道が小さく
て筆者が見逃したりという事が相当多いと思われますから、実態としては
事件の90%ほどを占めていたのでしょう。
もう車の中に、かばん、PC、手帳、携帯電話が置いてあったら、かばん
が欲しいわけではなくても、中に何が入っているかわからなくても、鍵が
かかっていても、持って行かれてしまうのが『常識』と思わなければなり
ません。
帰り道にパチンコに寄っている隙に、飲食中に、自宅駐車場で家の中まで
は持って入らなかったら、営業先で車にカバンを置いたままだったら、1件
目の納品先で納入中に2件目以降の分が......、ドアをこじ開けられ
て、窓ガラスを割られて...見事に盗まれまくってます。
但しこれらのほとんどは、「車に鍵がかかっていても、盗まれないと期待
してはいけない。」「車にかばん・PCが置いてあったら、中身を問わず
狙われる。」という”意識”さえあれば盗難を防げるものです。世間の
セキュリティ事情に敏感になって、必要な”意識”さえあれば、あるていど
のレベルの情報セキュリティは達成できてしまうのです。
『情報セキュリティでは”意識(awareness)”が特に大切』です。
※本題のISO27001解説−−−−−−−−−−−−−−−−−−−−−−−−−−−
序文 (重要ポイントのみ)
01.一般
BS7799-2は、会社の経営者や社員が良い情報セキュリティマネジメントシステ
ム(ISMS)を組み立てて、使っていくための手本にするために作られました。ISMS
を取り入れる事を決めるのは、会社の一部の人達の要求によるものとしてでは
なくて、全社が一致団結して導入するべきです。
BS7799-2は、次のために使う事が出来ます。
(1)情報セキュリティに関する自社の能力を確かめるため。
(2)外部の誰か(例えば認証機関)が、その能力を確かめるため。
BS7799-2(2002年版)は、ISO9001を考慮して作られました。
【解説】ISO14001とは異なり”自己宣言”には言及されていません。
02.プロセスアプローチ
BS7799-2の仕組みの基本は、ISO9001と同様に『プロセスアプローチ』です。
【解説】
『プロセス』とは、
「会社で行われているいろいろな活動」のユニット(ひとかたまり)です。
会社の仕事の行われ具合は管理されなければなりませんが、その管理を行う
時に対象になるユニットを『プロセス』と呼びます。会社の仕事は、とても
たくさんの『プロセス』で出来ています。
管理のやり方次第で、小さな『プロセス』がいくつかで大きなひとかたまり
となって、大きな『プロセス』として取り扱われる(管理される)こともありま
す。これらのプロセスがいくつも集まって、会社の仕事の全体になります。
それぞれの『プロセス』には、
・インプット(原料、部品、必要な情報、エネルギー)
・アウトプット(製品、中間製品、仕事の成果)
があって、あるプロセス(工程)のアウトプットが、次のプロセス(工程)の
インプットになる、という様に仕事が繋がって行きます。
『プロセスアプローチ』とは、
・仕事を区分けして、いくつもの「プロセス」に分ける。
・それらの「プロセス」の、お互いのつながり方を整理して、理解する。
・それをもとに、それぞれの「プロセス」を管理する。
・最終的に、仕事全体がうまく行く様にする。
という考え方です。
その『プロセスアプローチ』による管理の行い方は、「PDCAサイクル」と
して知られている行い方で行って下さい。
『PDCAサイクル』とは、
・P(Plan:計画): やみくもに管理してもろくな管理にならないので、
達成しなければならない行動や行動結果のレベル。また、その達成の
方法や必要なものを決める。
・D(Do:実行): 計画した通りに実行する。
・C(Check:点検): 管理の行われ方や、行動、行動結果が計画通りか、
元々目指したレベル通りか、評価する。
・A(Act、Action:見直し、処置):点検結果をを見て、「では、次はどう
すれば良いのか」を考えて、結論を出す。
・次のP: 見直し結果を受けて、これからの管理を計画する...
という流れで、管理を行うやりかたです。
50年以上この様な流れで”管理”を行うのがPDCAサイクルとされてきている
のですが、BS7799-2では少々ズレて、
P:計画−D:実行−C:点検と見直し−A:修正と表現しています。
修正は次のPDCAでやれば良いのですから、それはちょっと違うのですが...。
03.他のマネジメントシステムとの両立性
BS7799-2(2002年版)は、品質マネジメントシステムや環境マネジメントシステム
と統合したマネジメントシステムを組み立て易い様に、ISO9001/14001と関連づけ
られています。
【解説】確かに矛盾は生まれそうではありませんし、4.3項以降はかなり
ISO9001の丸写しですが、文書体系の構造がかなり違いますし、ISO14001
とはかなり遠い構造をしています。”眉唾”で受け取って下さい。
−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−
日常語:BS7799-2は、BS7799-2の日常語日本語訳です。日本規格協会訳やJIPDECの
ISMS認証基準の日常語変換版ではありません。
日常語:BS7799-2は、うちわ(社内など)で利用頂いて結構ですが、印刷物・Webなど
の多数へ配布する媒体に無断で引用するのはご遠慮下さい。
尚「情報セキュリティ新事情」は、無断でない限りかなり広範囲に許諾するつもり
です。
ご質問、ご意見、ご相談は大歓迎です。
他の項目の解説は: http://www.kiriishi.net/7799/top.htm
バックナンバーは: 情報セキュリティ新事情INDEXから
マネジメント改善研究所ホームページ:
http://www.kiriishi.net/
メールマガジンの登録・解除は:
http://www.kiriishi.net/7799/mag2.htm
ご意見、ご感想、お問い合わせは:
*****@kiriishi.net(メルマガにはちゃんとかいてあります。)
○発行 マネジメント改善研究所
○編集 切石 庄之介
Copyright マネジメント改善研究所
マネジメント改善研究所は、石川県金沢市にあります。
スケジュールの問題がなければ、全国に出張可能です。
