ISMS(ISO27001)およびプライバシーマークの情報セキュリティ担当者に参考となる情報をお送りいたします。

presented by TS-ISM, Inc.

情報セキュリティ担当者を応援するblog(ブログ)

ISO/IEC 27001:2013要求事項体系図

ISO/IEC 27001:2013 は、基本的には旧規格(ISO/IEC 27001:2005)の要求事項(本文)及び附属書A(規定)を継承した要求事項となっています。

よって、ISO/IEC 27001:2013 は、ISO MSS 共通要素を適用して開発されたマネジメントシステム規格の上に、情報セキュリティに不可欠なISMS 固有の要求事項が規定される形となっています。
 
 ISO/IEC 27001:2005が  「情報セキュリティ」  だったのに対して、 
 ISO/IEC 27001:2013は  「共通要素 (HLS、共有テキスト、共通用語・定義)」 + 「情報セキュリティ」

ISO27001:2005に引き続き、ISO27001:2014も図解にしてみました。
ご参考までに。

ISO/IEC 27001:2013要求事項体系図

ISO/IEC 27001:2013要求事項体系図



ISO27001:2013の「リスクマネジメント」を用語の定義から解説した図

ISO/IEC 27001:2013 の「6.1.3 情報セキュリティリスク対応」の「注記」にもあるように、ISO/IEC 27001の情報セキュリティリスクアセスメント及びリスク対応のプロセスは、ISO 31000に規定する原則及び一般的な指針と整合しています。よって、ISO/IEC 27001 のリスクマネジメントを考える際は、ISO 31000のプロセスも考慮に入れる必要があります。

ISO27001:2013で新しくなった用語の定義をもとに、ISO27001:2013のリスクマネジメントについて図解してみました。
ご参考までに。

ISO27001-yougo

ISO/IEC 27001:2013 用語の定義にみる「リスクマネジメント」



ISOマネジメントシステム規格の上位構造(HLS)と共通テキストと共通用語・定義の解説図

ISO では、2006 年から2011 年にかけて、組織が複数のマネジメントシステムを導入することを考慮して、マネジメントシステム間の整合性向上を図り、組織の負担を軽減することを目的にISOマネジメントシステム規格(以下「MSS」)の整合性を確保するための議論が行われました。
結果、「MSS 上位構造(HLS)」、「MSS 共通テキスト(要求事項)」及び「共通用語・定義」が開発され、これらの ISO MSS 共通要素は、5 月1 日に発行された「ISO/IEC Directives(専門業務用指針)のSupplement(補足指針)」の改訂版の「附属書SL」 に盛り込まれました。
 
今後、制定/改正される全てのISO MSS が、原則としてこのISOマネジメントシステム規格 共通要素を採用して開発することが義務付けらることとなります。

TSイズムのホームページで、「MSS 上位構造(HLS)」、「MSS 共通テキスト(要求事項)」及び「共通用語・定義」を図解したものを用意しました。
ご参考までに。

ISO-Structure1



ISO マネジメントシステム規格の上位構造(HLS)と共通テキストと共通用語・定義




 

ISMSサンプル文書関連商品がISO27001:2013(JISQ27001:2014)版に対応いたしました。

ISM Web store にて販売しております、ISMSサンプル文書集関連商品のISO27001:2013規格へ対応が完了しました。

すでにご購入いただいている方には、 「アップグレード版」も同時販売しております。

旧規格との差分表もついています。
「アップグレード版」は、旧版のサンプル文書の変更箇所の解説ガイドもついていますよ。

よろしければ、是非、お買い求めください。

02231130_4f45a4c2458d5


ISMS認証取得支援パッケージ  販売価格(税込): 29,829 円
ISMSサンプル文書集  販売価格(税込): 18,514 円
ISMS文書&書式テンプレート集  販売価格(税込): 15,429 円


 

ISO/IEC27001とISO/IEC27002の2005年版と2013年版の対応表

JIPDEC(日本情報経済社会推進協会)のホームページで、ISO/IEC27001とISO/IEC27002の 2005年版と2013年版の対応表(SD3:Standing Document 3)が、 ISO/IEC JTC1/SC27 N13143文書として公開されているとの告知がありました。

原文(英語)は、DIN(Deutsches Institut fur Normung:ドイツ規格協会)のホームページよりダウンロードできます。

ISO/IEC27001:2013およびISO/IEC27002:2013の規格(対訳版)は、JSA(日本規格協会)のホームページより購入できます。

pdf


ワンクリック詐欺にひっかかった場合の対処法は、「無視」。

マカフィーでは、スマートフォンユーザーを狙ったワンクリック詐欺の手口と、詐欺を防ぐポイントを簡単にまとめ、ホームページ上で紹介しています。

URL: http://www.mcafee.com/japan/home/security/news/034.asp

 

急速に普及が進んだスマートフォンは、今やサイバー犯罪者にとって格好のターゲットとなっています。

先日、公開されたIPA(独立行政法人情報処理推進機構)の2013年第3四半期(79月)の「コンピュータウイルス・不正アクセスの届出状況および相談受付状況」においても、「スマートフォンにワンクリック請求」においては前期から7割増となっており、相談件数は今後も増えるであろうと予想されています。

URLhttp://www.ipa.go.jp/security/txt/2013/q3outline.html

 

マカフィーが紹介している、「ワンクリック詐欺」にあった時に一番の最適な方法は、「無視」することだそうです。

 

「電子契約法」では、「消費者が申込みを行う前に、消費者の申込み内容などを確認する措置を事業者側が講じないと、要素の錯誤にあたる操作ミスによる消費者の申込みの意思表示は無効」とあります。

画像や意図しないリンクのクリックした瞬間、「入会(登録)が完了しました」などのメッセージを表示し料金を請求するパターンは、「電子契約法」違反に当たります。

つまり、最後に内容を確認して承諾していない申込は無効であり、操作ミスを誘導した結果の申し込みも無効ということなのです。

 

経済産業省「電子契約法について」

URL: http://www.meti.go.jp/policy/it_policy/ec/e11213aj.pdf

 

ちなみに、絶対に画面内のクリックや苦情・問い合わせのメール返信はしないようにしましょう。

返信などをしてしまうと、不当な請求メールなどのスパムメールが繰り返し送ってくる恐れがあります。

一度、知られてしまったメールアドレスにスパムメールを来なくする方法はありませんので注意しましょう。

一番良い方法は、「無視」するということですね。

 

あと、「ワンクリック詐欺」にあった場合は、パソコンのウイルスチェックを必ず行いましょう。

ダウンロードした不正なアプリなどを通じて、何らかのマルウェアがパソコンに忍び込んでいる可能性もあるので、注意が必要です。

 

身に覚えないメールが多く届いたり、本物かどうか判断に迷ったり、困った場合は、「全国の消費生活センター」に問合せましょう。

全国の消費生活センター

URL: http://www.kokusen.go.jp/map/


 

消費者庁より「平成24年度 個人情報の保護に関する法律 施行状況の概要」が公表されています。

「個人情報の保護に関する法律」では、第 53 条第1項の規定により、「内閣総理大臣は、関係する行政機関の長に対し、法の施行の状況について報告を求めることができること」とされており、同条第2項にて、毎年度、同条第1項の報告を取りまとめ、その概要を公表することとされています。

それに従い、今回、消費者庁が、平成 24 年度における施行状況の報告について取りまとめ、その概要を公表しています。
 

pdf

地方公共団体における個人情報の保護に関する施行状況については、総務省が公表している「地方自治情報管理概要〜電子自治体の推進状況〜」(平成 25 年2月)を参照ください。

地方自治情報管理概要(地方公共団体における行政情報化の推進状況調査結果)
 

pdf

東京23区でISMS(ISO27001)認証取得を助成金対象とする区(更新版)

TSイズムのホームページ「Topics」に掲載しておりました、「東京23区でISMS(ISO27001)認証取得を助成金対象とする区」を更新しました。

東京23区では、各区においてISO認証取得のための助成金補助金融資などの制度があります。

前回、公開していた時よりも、新たに制度を導入されている区などもあったため、この度「2013/09/10」付けの内容で、記事を更新しました。

以前よりは、企業を支援する制度が実施する区が増えてはいますが、実施されていない区などもございます。

ISO認証取得を検討されている企業様(東京23区に拠点がある企業様)は、一度、調べてみる価値があるかと思います。

tokyo23

東京23区でISMS(ISO27001)認証取得を助成金対象とする区(更新)

コンピュータウイルスとウイルス攻撃の種類

TSイズムのホームページ「Materials」に、「コンピュータウイルスとウイルス攻撃の種類」という記事をアップしました。

コンピュータウイルスとはどのようなものがあるのでしょうか、またそれらのコンピュータウイルスは、どのような悪さを行うのでしょうか。

そのようなコンピュータウイルスとそれらを利用したさまざまな攻撃の関係を下図のように図解してみました。

複数の機能を持つ不正プログラムの登場や定義の変化により、明確な区分が難しくなってきており、またさまざまな観点により、分類などもいくつかのアプローチがあるかと思います。

コンピュータウイルスおよびウイルス攻撃の一つの理解の資料になれば幸いです。

TypeOfVirusAttackAndVirus

コンピュータウイルスとウイルス攻撃の種類

情報セキュリティ関連情報を、担当者がまとめて受信する方法。

情報セキュリティ担当者となると、それらの関連情報が気になりますよね。
私自身も、仕事の関係上、セキュリティ情報を毎日、色々なところからかき集め、
現在は、どのようなことが起こっているのかチェックしています。

OS、ソフトウェアの脆弱性情報
最新のウイルスやフィッシングメールなどの情報
どのようなセキュリティ事件・事故が起こっているのか?
各省庁の動き
新たな法規制に関する情報
などなど...

確かに、インターネットを検索すれば、毎日数多くの最新情報が流れています。

しかし、組織で情報セキュリティの担当者をやられている方は、
実際は他の業務との兼務で行っていたりとそれだけに時間を割くことは意外と大変ではないでしょうか。

チェックしていても、同じ情報がタイトルだけ違って幾重にも流れていたりと。
思ったよりも、チェックするだけで時間がかかってしまいますよね。

そこで、私が毎日チェックしている情報セキュリティ関連の情報を、
そのままセキュリティ担当者の皆様にお見せすることができればと思い、
TSイズムのツイッターを利用してつぶやくことにしました。

twitter

上記のアドレスをクリックし、お気軽に「フォロー」してやってください。

できるだけ、良質で多くの情報をつぶやければと思っています。
もしよろしければ、フォローしてください。


以上、TSイズムからのお知らせでした。


twitter
ISMS認証取得支援パッケージ

ISMS認証取得支援パッケージ
\29,829- (税込)

プライバシーマーク取得支援パッケージ

プライバシーマーク取得支援パッケージ
\29,829- (税込)

  • ライブドアブログ