記事一覧
ISMAP概要(監査編)。ISMAPの監査はどのようになされるか解説します。
ISMAP 概要(監査編)前回の記事では、ISMAP制度について紹介をさせていただきました。今回はISMAPを自社のクラウドサービスの利用基準として使えるか検討されている方、並びにISMAPクラウドサービスリスト(以下、単にリストとします。)への登録を目指すクラウドサービス事業者様に参考となるような監査の実際のところを解説したいと思います。
前回の記事(制度編)はこちら。
ポイント
この記事で
ISO27001:2022 対応日記 ドキュメントの修正編
すみません。ISMS・ISMAPの作業に追われていて記事を作成する時間がなかなか取れませんでした。移行審査に向けた作業は順調に進んでいます。
前回の記事では、移行計画の承認についてお伝えしました。
この記事では、サイボウズのISMS移行審査について、継続して投稿しています。今回は、ISMSのプロセスを定めた「ISMSマニュアル」の修正点について書きました。
ISMSマニュアルとは?ISMSは
ISO27001:2022 対応日記 移行計画承認編
前回の記事では、審査後のリフレッシュ方法についてお伝えしました。
本記事で紹介している書籍はこちらで、以下 ISMS本とします。
図解即戦力 ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書
この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査について書きます。今回はサイボウズの ISMS を 、ISO/IEC27001:2022 版に準拠するように変
ISO27001:2022 対応日記 リフレッシュ編
前回の記事では、審査の実際について記事を書きました。
前回の記事において、審査は精神的に疲れるためリフレッシュが必要であることをお伝えしました。サイボウズ ISMS事務局で試したリフレッシュ方法をお伝えしますので、参考にしていただければと思います。
ISMS反省会会場を新橋に移し、ISMS審査における反省会を実施しました。ひとりひとり別の審査員に帯同するため、他のメンバーの状況がわからないので
ISO27001:2022 対応日記 審査編
前回の記事では、ISMSが新規格となり、移行審査が必要であり、移行審査の前にISMS関連ドキュメントを新規格に対応させる必要があることを書きました。
本記事で紹介している書籍はこちらで、以下 ISMS本とします。
図解即戦力 ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書
この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査について書きます。
[0
ISO27001:2022 対応日記 計画編
前回の記事では、ISMSが新規格となり、対応が必要であることを紹介しました。
本記事で紹介している書籍はこちらで、以下 ISMS本とします。
図解即戦力 ISO27001:2022の規格と審査がこれ1冊でしっかりわかる教科書
この記事では、ISMS本で得た知見を一部紹介しつつ、サイボウズの移行審査計画について書きます。
※記事公開後、コメントをいただき一部記述を見直しました。ご指摘ありがとうご
フィッシング対策協議会に加盟しました。
2023年6月、フィッシング対策協議会に加盟しました。
フィッシング詐欺が横行しており、さまざまなブランドのフィッシングサイトが構築され、被害が出ている状況です。
フィッシング対策協議会とはフィッシングに関する情報の収集と提供を行う、またフィッシングに関する注意喚起などの活動を中心とした対策の促進を行っている団体です。
メンバー
フィッシングの攻撃対象となりうる事業者・団体
フィッシングに
ISO27001:2022 対応日記 序章
2022 年の改定
ISO27001(ISMS)の規格が2022年に改訂されました。管理策が統合されたり、新たな管理策も追加されています。
サイボウズでも ISMS の認証を取得しており、2022年版への移行が必要です。移行期間は 2022年10月31日から 3年以内とされており、2025年10月31日までには、移行審査を完了している必要があります。
サイボウズの移行審査時期
サイボウズでは
「セキュリティ対応組織の教科書 第3.0版」の紹介
2023年2月、日本セキュリティオペレーション事業者協議会 (ISOG-J) より「セキュリティ対応組織の教科書 第3.0版」が公開されました。今回はこちらを紹介します。
本書について
企業内のSOC、CSIRT、内部統制担当、CSO、CISOやそういった方をサポートする方々に向けて書かれたもので、自分たちのセキュリティ組織は何ができていて何が足りないのかを把握して今後の実現方法を示す、実用書
書籍「小さな企業がすぐにできるセキュリティ入門」の紹介
近年、どのような会社でもセキュリティ対策が求められるようになってきました。背景として、どの業界でもパソコンやスマホを利用した業務が存在し、ITの活用なしに事業を進めることが困難になっていることが挙げられます。しかし、小さな企業は、かけられる手間も少なく、大きなセキュリティ投資がしくにい事情もあると思います。
本書 では、お金をかけずにできる対策、手間をかけずにできる対策という観点で小さな企業でも
中小企業の情報セキュリティ対策ガイドラインの紹介
4月26日に IPA より「中小企業の情報セキュリティ対策ガイドライン 第3.1版」が公開されました。小規模の事業者様でも、攻撃を受けるケースが多発しています。また、取引先からセキュリティ対策を求められるケースも増えてきているのではないでしょうか?
しかし、セキュリティ対策といっても、何から手を付けていいのかわからない経営者の方、セキュリティ対策を指示された方も多いと思います。IPA さんの「中
CSIRTの構築・運用を解説した書籍 "CSIRT" を紹介
今回は書籍 "CSIRT" (以下 CSIRT本)を紹介します。発行が2016年11月となっており、内容が古い部分もありますが、構築・運用方法の原則的な部分は変わりません。CSIRT の最新の情報を得られる日本シーサート協議会(以下 NCA)の紹介もさせていただきます。
CSIRTとは?自組織の重要な情報資産を守るためのチームで Computer Security Incident Respon
kintoneユーザー必読!kintoneガバナンスガイドラインのポイント
kintone は開発なしにアプリを作成できるノーコード・ ローコード開発ツールで 「 現場が主体となってアプリを作成できる 」 という特徴があります 。 kintone の柔軟性ゆえ、統制をとることが難しくなり、機密性の高い情報が広く閲覧できる設定になっていた、業務で大切なアプリが突然削除されてしまった、などの事故が発生してしまう可能性があります。
kintone の柔軟性を生かしつつ、統制を
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル3)
前回の紹介記事では、PSIRT のプロセスを一通り経験し、経験値を蓄える段階(レベル2)について書きました。今回は、PSIRT のプロセスを何度も実施している PSIRT がエリートになるためのレベル3を紹介します。
レベル3の PSIRT がいる組織では、製品の脆弱性の発見、分析し、対策版のリリースなどのプロセスを開発者を含めた内部のステークホルダ全員が理解しており、PSIRT が誰で、何をし
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル2)
前回は、PSIRT をゼロから構築するレベル1を紹介しました。今回は、いくつか脆弱性に対応し、より高度なことが求められるようになった PSIRT レベル2について紹介します。
運用基盤経営からの信頼を得ること、PSIRT の権利を記述した憲章を確立し、ポリシー、基準、ガイドラインを定めましょう。また、予算を確保し、スタッフを揃え、必要なツールを調達しましょう。
ステークホルダ マネジメント製品
製品セキュリティを守るチームをゼロから作りたいけど、何から始めればいい?成熟させるには?PSIRT Maturity Document 紹介(レベル1)
前回紹介した PSIRT Services Framework は PSIRT がやるべきことを網羅的にまとめたドキュメントです。今回紹介する PSIRT Maturity Document (以下、Pマチュ)は、PSIRT をゼロから構築し、成熟させる手順をステップ バイ ステップで解説しています。日本語版 は、日本シーサート協議会と Software ISAC で翻訳し、FIRST 加盟チーム
もっとみる