私がISO27001(ISMS)の勉強で最もお世話になった書籍

yuka9v9a8531_tp_v

若干CISSP繫がりです。

本日は、ISO27001の理解にお勧めな書籍を紹介します。

スポンサーリンク
レクタングル大

ISO27001とは?

情報セキュリティマネジメントシステムフレームワークです。日本ではJIS Q27001(2014)で日本語化されています。

簡単に言うと「対象組織が情報セキュリティを管理できる体制・対策をしっかりしてるよね?」ってのを、確認する規格です。

難しいですね。何ていうか、直感的じゃないですよね。

分かります。私は何度かISO270001関係のお仕事に携わったことがあるのですが、初めは「何を言ってるんだ?」と、そもそもの言葉の解釈に苦労しました。

本日お勧めの書籍

JISからJIS Q 270001:2014を購入することも可能なのですが、これだけでは「何を言っているのかさっぱり」状態になる可能性大です。

なので、必然的に解説書が必要になります。

私は仕事で何冊かISO27001関係の書籍を読んだことがあるのですが、間違いなくお勧めできるのは以下の2冊です。

img_2285

初めのが、解説書。次のが実際にISO27001を構築・運用するときの参考書みたいな作りになっています。

解説書について

ISO27001を含む標準規格の文章は、それだけだと非常にとっつきにくい。まるで、六法全書を読んでいる気持ちになります。(というか、個人的には法律の解釈とアプローチがにているような)

なので、十分に理解するためには、解説書が必須になります。

この解説書は、ISO27001の文章一つ一つについて、具体例を交えて解説が記述されています。また、以下のような単語についてもISOなりの説明がしっかりなされています。

  • 組織
  • トップマネジメント
  • 利害関係者
  • リスク

恐らく少しでもセキュリティに携わったことがある方は、上記の単語を聞いたことはあるでしょう。「ああ、リスクね、脅威とか脆弱性とかね」という感じで。

でも、ISOは厳格に「リスクとは?」とか「組織とは?」などを定めています。つまり、「ISOでのリスクとは?」という質問が出たら、誰でも同じ回答になります(その為に規格が存在している)。

  • (ISO27000)リスクとは、目的に対する不確かさの影響。

さらに、ISO27001:2013になって、ISO31000:2009が採用されたことにより、ISO27001:2005の時と用語の定義や概念が変化しています。(上のリスクの定義はISO27001:2013の定義です。厳密にはISO27000)

この解説書では、このような「用語の厳格な意味」や「ISO27001:2005からの変更点」なども網羅しています。

個人的には「リスク」の用語の定義が変わったのが大きいと思います。。。

構築・運用の実践編について

解説書を読むと、ISO27001が「何を言いたいか(用語の定義)?何を求めているか(要求事項)?」がわかるはずです。

しかし、実際のプロジェクトでISO27001を適用する場合は「では具体的に何をしたらいいか?」を理解する必要があります

つまり

  • どんな資料を作ったらよいのか?
  • どんな体制で計画すればよいのか?
  • 誰に何をしてもらったらよいのか?

などです。

ITエンジニアとして仕事をしていると、開発・インフラプロジェクトだと「あぁ、こういう資料がいるな」と感覚的に分かると思うのですが、こういうセキュリティ系の適用案件は、初めは何から手をつけたらいいかが不透明な人もいるでしょう。

この実践編では、上記の疑問に対する回答が「具体例を含めて」紹介されています。

例えば、組織の業務機能関連概要図とかが架空の会社の適用案件を例に紹介されていたりします。非常に分かりやすく、すんなり頭に入ってきます。

どっちを先に買うべきか?

この記事を読んでいるということは、近いうちにISO27001関連の案件に携わるか、既に携わって行き詰っているか、の方が多いかと。

その場合「どちらを先に買うべきか?」という質問に対しては「両方同時に購入すべき」ってのが、回答になります

理由は以下の通り。

解説書だけでは眠くなる

これは、この書籍のせいではありません。
ISO27001を理解するタスクは、つまらないです。(個人的意見・・・)

こればかりは仕方ありません。テクノロジーの検証みたいなやりきった感はもてないし、ひたすら文章の解釈を理解することがポイントなので。

なので、解説書だけ読んでても、頭に入ってきません。非常に効率が悪いです。

なので、解説書で理解できた「気になっている」箇所を、適宜実践編と照らし合わせて「あー、プロジェクトのここで関係してくるのね!」って感じで、理解を深めることをお勧めします。
(これはISOなどの規格関係は全てにおいて言える事です)

結局、プロジェクトを遂行するには、両方必要

実践編だけだと、内容をそもそも理解できません。

解説書だけだと、プロジェクトを進めることは出来ません。

なので、結局両方必要になります。両方別々に読んだら、無駄に時間がかかります。

ちなみに、ISO27001はCISSPの範囲でもあります。なので、CISSP学習前にこの書籍を理解しておけば、このドメインに差し掛かったときに幾分気持ちに余裕が出来ますよ。

勉強を再会する方へ
スポンサーリンク
レクタングル大
  • このエントリーをはてなブックマークに追加

コメントをどうぞ

メールアドレスが公開されることはありません。

次のHTML タグと属性が使えます: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">