<適用範囲、引用規格、用語及び定義>
いきなりですが、ISO27001箇条1~10までを何回かにわけてご紹介していこうと思います!
というのも、この企画自体はISMS取得時の基準として有名ですが、個人的にはとにかく分かりにくい!本来、セキュリティ対策の根拠になったり、拠り所になるものなので素人が読んでも理解できる必要があるのに、正直意味不明です(#ω)
ちなみに、CISSP試験的にも僕は有効な部分があると考えています。
回答時に「セキュリティの基礎的に考えると答えは〇〇だよな~」「✖✖ってことは答えは〇〇っぽいな~」みたいな感じになれるはずです!
繰り返しになりますが、CISSP試験においては「答えはこれだ!」となるようなケースは少ないんです。大げさに言えば、「AもBも正解じゃん!!」と思うような選択肢が用意されていたりします(# ゚Д゚)>>>
そういう時に、セキュリティの大原則や基礎を知っていればより適切な選択肢を選ぶことができるのです!(僕もそのようにして試験に合格しています。)
とゆーことで、
ISO27001シリーズの第一回目である<適用範囲、引用規格、用語及び定義>について重要な部分に絞ってご紹介致します!(^^)!
尚、特に重要なのは【用語及び定義】となります!
・適用範囲とは? ISO27001~箇条1~
-ISO27001は様々な形態の組織に適用ができる!
-この規格に適用していると外部に宣言したい(=ISMS認証企業です!みたいな感じ)場合は箇条4~10は必ず満たさないといけない!
⇒覚えることはこれだけで良いです!むしろCISSP試験的には覚えなくても良いと僕は考えています。
・引用規格とは? ISO27001~箇条2~
-ISO27001において、JIS Q 27000という重要な規格を引用している!
※話をシンプルにしたいので、JIS Q 27000はISO27000と読み替えてもOKです!
⇒つまり、ISO27001は単独ではなく他の規格とも整合性をとりながら策定されているんだな~と思えばOK!ここもCISSP試験的には重要ではありません。
・用語及び定義とは? ~箇条3~ ※CISSP的にも重要です!
-ISO27001で登場する様々な用語の定義、意味が記載されている!
⇒つまり、「この用語の意味は?」的な問題への回答時に役に立つということになります!当然、CISSP向けの教科書等で紹介されている用語であれば、そちらの定義を優先すべきですが、紹介されていない用語や内容が分かりにくい場合はこちらを拠り所に回答をしても良いと思っております!(結構な割合で紹介されていなかったり、説明が意味不明だったりしました・・・)
そして、覚えるべき重要な用語を以下に記載しますね!
まずは、下記を「なんと~~く」理解してください。
・不確かさ:何かの事象や結果に対する、情報や理解が欠落している状態
・リスク:目的に対する不確かさの影響。脅威×脆弱性×資産価値でリスクが決まる
・目的:達成しようとする結果。目標と読み替えてもOK
その上で、下記は「確実に」理解してください!!
・脅威
→組織やシステムに損害を与える可能性があり、インシデントの潜在的な原因
・脆弱性
→脅威につけ込まれる、資産や管理策の弱点
・資産価値
→そのまま資産の持つ価値だと思っておいてください
・情報セキュリティリスク
→情報セキュリティ目的に対する不確かさの影響
→脅威が、脆弱性につけ込み、結果として組織に損害を与える可能性により生まれる
・(情報セキュリティ)インシデント
→情報セキュリティ事象の中でもやばい事象。CISSP試験的には「インシデント」は全て必ず対処する必要があると覚える
以上です!