B01-ISMS関連 の変更点

• 追加された行はこの色です。
• 削除された行はこの色です。
• B01-ISMS関連 へ行く。
• B01-ISMS関連 の差分を削除

#br
○はじめに

ISMS（JIS Q 27001）審査員補の資格を保持しています。

業務上のノウハウ等を随時追加したいと思います。

（インターネット上に、実務に踏み込んだ解説がすくないので）
#br
審査員側の目線、実務側の目線と両方からの見解です。
#br
○ISMSとは

　情報セキュリティマネジメントシステム適合性評価制度であり、

　情報セキュリティの個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメント

　により必要なセキュリティレベルを決め、プランを持ち、資源配分して、システムを運用するものです。

　#情報マネジメントシステム認定センターより
#br
○ISMS関連の規格
#br
　''情報セキュリティマネジメントシステム''

　・ISO/IEC 27001:2013（国際標準化機構）

　・JIS Q 27001:2014（日本産業規格）
　・JIS Q 27001:2014（日本産業規格）　※ほぼ「上記和訳」の理解でOKです
#br
　''&size(16){クラウドセキュリティ認証};''

　・ISO/IEC 27017:2015&size(16){（国際標準化機構）};

　&size(16){・JIS Q 27017:2016（日本産業規格）};
　&size(16){・JIS Q 27017:2016（日本産業規格）};&size(16){※ほぼ「上記和訳」の理解でOKです};
#br
&size(16){○ISMS認証の取得企業に対する目線};
&size(16){○ISMS認証の取得企業に対する目線と個人見解};
#br
&size(16){　「};&size(16){ISO/IEC 27001:2013」という国際規格に沿って、情報セキュリティを確保するための仕組みを持ち};

&size(16){　その仕組みを維持し継続的に改善していることを意味する。};
#br
&size(16){　もっと分かりやすい言葉で言えば、};

&size(16){　１「情報セキュリティに関するしくみ（文書や環境）が一定のレベルにある」→国際規格のレベルに達している};

&size(16){　２「};&size(16){情報セキュリティに関するしくみ」が運用レベルできちんと実施できている　→上記同様};
#br
&size(16){　と言い換えることができる。何も認証を取得していない企業が「当社はしっかり情報セキュリティを管理している」};

&size(16){　といっても、エビデンスがないため「信用できない」。私個人の見解としてはそのような企業はたいてい「いいかげん」な};

&size(16){　管理であることが多く取引対象にはなりません。};&size(16){（第三者チェックがないから）};
#br
&size(16){　たまに、「認証を維持することが目的であり、実際は形骸化している企業が多い、だから取得する必要はない」};
&size(16){　たまに、認証未取得の企業から「認証を維持することが目的であり、実際は形骸化している企業が多い、だから取得する必要はない」};

&size(16){　とお聞きすることもありますが、};&size(16){少なくとも審査員の目からは一定の基準にあるわけであり、ある程度のレベル};
&size(16){　とお聞きすることもありますが、};&size(16){認証取得企業においては};&size(16){少なくとも、};&size(16){審査員の目からは一定の基準にあるわけであり、};

&size(16){　は満たしていると考える。};&size(16){やはり、高セキュリティの業務依頼を行うには認証は必要であると判断できる。};
&size(16){　ある程度のレベル};&size(16){は満たしていると考える。};

&size(16){　私は念のため新規取引の際は、「審査報告書」の提示と「現地監査」を必須項目としています。特に};
&size(16){　※形骸化＝経営層や管理職の「管理、統制」の能力が低いことを自ら露呈しており、危険な発言ですね};

&size(16){　ゆるみやすい部分（実務運用）について細かくチェックすることをお勧めします。};
&size(16){　};

&size(16){　認証取得企業であれば、書類は整っている企業が多いため、細かくチェックする必要性は低いです。};
&size(16){　やはり、高セキュリティの業務委託を行うには認証は必要であると判断できる。};
#br
&size(16){　※形骸化＝経営層や管理職の「管理、統制」の能力が低いことを自ら露呈しており、危険な発言です};
&size(16){　私は念のため新規取引の際は、企業に対し、過去３年の「審査報告書」の提示と、取引開始時の「現地監査」を};

&size(16){　必須項目としています。};&size(16){特に};&size(16){ゆるみやすい部分（実務運用で手間がかかるルールの部分）について細かく};

&size(16){　チェック};&size(16){することをお勧めします。（高い確率でルールから逸脱している企業が多いのが現実）};

&size(16){　認証取得企業であれば、書類は整っている企業が多いため、書類は細かくチェックする必要性は低いです。};
#br
○認証に関する情報

　

　・&size(16){情報マネジメントシステム認定センター};

　　https://isms.jp/
#br
#br
#br
#br