まず、情報セキュリティとは、何か?
この定義を確認しておく必要があります。
ISO27001の規格では、こう定義しています。
情報セキュリティとは、情報の「機密性」「完全性」「可用性」を維持すること。
・「機密性」とは、漏らさないこと、不正アクセスから保護すること
・「完全性」とは、正確性、完全性を保つこと
・「可用性」とは、許可された者が、利用したいときに、利用できること
これらのことを維持するために、マネジメントの仕組みを活用して
実行するのが、ISO27001です。
では、何を実行するのか?
以下、実行すべき規格の概要を記します。
1.適用範囲
2.引用規格
3.用語及び定義
4.組織の状況
4.1 組織及びその状況の理解
4.2 利害関係者のニーズ及び期待の理解
4.3 情報セキュリティマネジメントシステムの適用範囲の決定
4.4 情報セキュリティマネジメントシステム
5.リーダーシップ
5.1 リーダーシップ及びコミットメント
5.2.方針
5.3 組織の役割、責任及び権限
6.計画
6.1 リスク及び機会への取り組み
6.1.1 一般
6.1.2 情報セキュリティリスクアセスメント
6.1.3 情報セキュリティリスク対応
6.2 情報セキュリティ目的及びそれを達成するための計画
7.1 資源
7.2 力量
7.3 認識
7.4 コミュニケーション
7.5 文書化された情報
7.5.1 一般
7.5.2 作成及び更新
7.5.3 文書化された情報の管理
8.運用
8.1 運用の計画及び管理
8.2 情報セキュリティマネジメント
8.3 情報セキュリティリスク対応
9.パフォーマンス評価
9.1 監視、測定、分析及び評価
9.2 内部監査
9.3 マネジメントレビュー
10. 改善
10.1不適合及び是正処置
10.2継続的改善
