適用宣言書(SoAとも呼ばれる)の重要性は、一般に通常過小評価されています。適用宣言書は、ISO 9001における品質マニュアルの様に、情報セキュリティの大部分の実施方法を定義し中心的な役割を果たす文書です。 実際、適用宣言書はリスクアセスメントやリスク対応を情報セキュリティの実施に結びつける主な接点となります。その目的は、ISO 27001附属書Aで提案されている133の管理策(セキュリティ対策)のどれを適用するか、そして、適用可能な管理策をどのように実施するかを指定することです。 適用宣言書はなぜ必要か …
Read More ...事業継続を中小企業に導入する意味はあるでしょうか。必要な情報はすべてオーナーの頭の中に入っているのに、事業継続のようなコストのかかるものが必要なのはなぜでしょう。 これは私が最近聞いた話です。ある小さな会社(多数の顧客にさまざまな設備を販売している)が強盗にあったそうです。盗賊は夜のオフィスに侵入し、コンピュータすべてと値打ちのある品物を盗んでいきました。 その会社のオーナーがデータをバックアップしていたのはよかったのですが、問題は、そのバックアップを同じオフィスの別のコンピュータに保存していたことです。 その会社は間もなく倒産しました。単に、事業関係の重要な情報を復元できなかったがために。 これは、中小企業の多くが患っている「まさかウチの会社でそんなことは起こらないだろう」症候群の古典的な例です。 …
Read More ...これまで私のブログを読んできた人は多分思っているでしょう。私がISO 27001のことを、これまで書かれた文書の中で最も完全な文書だと信じていると。 でも実際には違います。この標準には、クライアントの仕事に協力したりこの分野の教育を行ったりしていると、常にぶつかる弱点があります。以下はその弱点と、それを解決するための私の提案です。 用語の曖昧さ この標準の要件には、かなり曖昧な部分があります。 …
Read More ...あなたは、いつの間にかセキュリティ方針や手順を書く立場になっていたことはありませんか。 そんなことになっても、自分の書いた文書が引き出しの中で埃をかぶるような、ありがちな結果にはなりたくないですよね。そんなあなたの役に立ちそうな事があります。 これから私が紹介するステップは、さまざまなクライアントとの経験に基づいて私が設計したもので、大組織・小組織、公的組織・私的組織、営利組織・非営利組織など、いかなるクライアントにも該当します。 このステップは実際には、ISO 27001やBS …
Read More ...この質問は、私が普段見込み客から受ける最初の質問の内の一つです。 ご期待に沿えず恐縮ですが、私は正確な数字をすぐには教えません。その理由は以下の通りです。 第一に、導入の総コストは、組織の規模(もしくはISO 27001の適用範囲に含まれる事業部門の規模)、情報の重要度(たとえば、銀行の情報は重要なのでより高度な保護が必要だと考えられる)、組織で利用しているテクノロジー(たとえば、データセンターは複雑なシステムなのでよりコストが高くなる傾向がある)、法的要件(金融セクターや政府セクターの情報セキュリティは一般に強く規制される)などに依存するからです。 第二に、必要な保護の程度がわからないと、正確なコストを計算することはできません。まず必要なセキュリティ対策を知るため、リスクアセスメントを実行する必要があります。 …
Read More ...私はよくISO 27001に関する噂を耳にするのですが、それを笑うべきか泣くべきかよくわかりません。 実際、人間はよく知らない事についてはおかしな判断をしがちです。以下はもっともありがちな誤解の例です。 「標準は…を求めている」 「標準はパスワードを3ヶ月ごとに変更することを求めている。」 …
Read More ...あなたがISO 27001の導入を始めた方は、おそらく導入を簡単にする方法を探しているでしょう。 がっかりさせるて申し訳ありませんが、簡単な方法はありません。 でも、作業を簡単にするお手伝いをさせてください。以下は、ISO 27001認証を取得したいときに、通過しなければならない16の手順の一覧です。 …
Read More ...経営陣から事業継続を導入する仕事を与えられたのに、どうしていいかよくわからないとおっしゃる。 これは簡単な仕事ではありませんが、BS 25999-2の方法論を援用することで楽になります。以下は、この規格を導入するために必要な主な手順です。 1. 経営陣の支援を得る …
Read More ...学ぶことは、ISO 27001やBS 25999-2導入を容易にする最高の方法の一つです。 利用できるコースの種類は続々と増えているので、その利点や相違点を説明しましょう。 まず、通学コースの一覧です。このようなコースは依然として多いですが、オンラインコース(この記事の最後で説明)に着実にシェアを譲りつつあります。 …
Read More ...あなたがIT部門にいるからというだけの理由で、経営陣から事業継続を導入する任務を与えられた事はありませんか。なぜ事業継続は情報技術だと一般に思われているのでしょうか。 これはおそらく、事業継続の起源が災害復旧にあり、災害復旧が基本的に情報技術に関する事だからでしょう。 20~30年前は、事業継続(BC)という概念は存在せず、災害復旧(DR)という概念だけが存在していました。その主な関心は、災害が発生したときに、どのようにデータを保存するかでした。その当時は、たとえば地震発生時に、組織のあらゆる重要なデータを保管できるように、高価な設備を購入して遠隔地に配置することが流行していました。データは保管されるだけでなく、元の場所にあったときとほぼ同じように処理できるようになっていました。 けれども、しばらくすると皆気づきました。データを利用する事業が存在しなかったら、そのデータは何の役に立つのかということに。 ここから事業継続のアイデアが誕生しました。その目的は、大きな中断があった場合でも、事業を継続できるようにすることです。 …
Read More ...あなたは、BCMは「不可能」「不要」「大災害時には役に立たない」などと言われた事はありませんか。事業継続管理を導入した人なら、おそらくあるはずです。このような態度はもちろんプロジェクトの邪魔になるので、そのような人に対処する方法をいくつか教えましょう。 「大災害が発生した場合には、どうすることもできない」 これがおそらく最も多い批判でしょう。 この批判は、あなたが実際に起こりうるあらゆるシナリオを想定して、事業継続戦略や 事業継続計画を作成していなければ、正しいかもしれません。しかし、あなたがあらゆるシナリオを想定していれば、どんな災害にでも耐えられるほど距離の離れた代替地を準備していたこと、データのバックアップコピーを作成済みであること、会社のあらゆる従業員に代替要員がいること、重要なあらゆるサービスに代替供給者がいること、などを説明できるでしょう。 …
Read More ...ISO 27001とISO 27002の両方を読むと、おそらく、ISO 27002の方がはるかに詳細かつ厳密であることに気づくでしょう。ではISO 27001は何のためにあるのでしょうか。 …
Read More ...あなたは、経営陣を説得して情報セキュリティの導入に投資しようとしたことがありますか。 もしあるのなら、どうなるかはご存知でしょう。経営陣はコストがいくらかかるかを尋ね、高すぎれば拒否するでしょう。 実際、そのような経営陣は責められません。結局のところ、経営陣の最終的な責任は企業の収益性なのですから。 つまり、経営陣の意思決定は、すべて投資と利益の間のバランス、彼らの言葉で言えば、ROI(投資収益率)に基づいています。 つまり、そのような投資を提案する際には、準備が必要だということです。経営陣が理解・認識できる言葉を使って、利点をプレゼンする方法を慎重に考えねばなりません。 …
Read More ...ISO 27001導入の第一段階が適用範囲の定義であることは、おそらくご存知でしょう。 ご存知ないのはおそらく、この手順は、一見単純ですが、さまざまな問題を引き起こす可能性があるということです。つまり、多くの会社では導入コストを削減するために適用範囲を狭めようとしますが、そのような適用範囲が頭痛の種になることは珍しくありません。 では問題はどこにあるのでしょうか。 ISO …
Read More ...
