セキュリティコンプライアンスラジオ

またもやマニアックなテーマ「ISMS新規格A.5. 29とA.5.30は何が違うねん！？」問題について熱く語りました。
マニアックといえども、ISMSの新規格対応に取り組んだ方は、実はこの点について結構悩まれたのではないでしょうか？
そんな皆さまのお悩み解消に一役買うエピソードですので、ぜひお聞きください！

▼ハイライト ・1年ぶりの収録のワケ〜めちゃくちゃ忙しかった＆たくさんピッチイベント参加してました〜
・ISMS新規格（ 2023年版のISO27001 ）A.5.29とA.5.30で求められているのは「”事業の中断・継続（BCP）”を行うための情報セキュリティをどう考えるか」
・旧規格（ 2013年版のISO27001 ）で求められていた、BCPにおける情報セキュリティ（ A.17 ）を振り返ってみる
・具体的に新規格A.5.29とA.5.30で求められていることとは
・おまけ1：なぜISMSで避難訓練をする企業が存在するのか？ 意味あるの？
・おまけ2：井崎、ISMS作る側になっちゃいました（「ISO」に加入しちゃいました）

今回はプライバシーマーク（Pマーク）に関するお話をする予定でしたが、急きょ予定変更です！

スピーカーの井崎が興奮した、「サイバーセキュリティ経営ガイドライン3.0」の改訂についてお話します。

ガイドラインの概要、歴史に触れながらなぜ今回の改訂で井崎が興奮したのかをマニアックな熱をもってお伝えします！

▼ハイライト

・chatGPTは情報セキュリティ担当者の救世主になりえるのか　

・サイバーセキュリティ経営ガイドラインとは一体何なのか

・サイバーセキュリティ経営ガイドラインの6年越しの改訂

・今回の改訂で変化したガイドラインにおける3つの”哲学”

　- サイバーセキュリティ対策の目的

　- 「セキュリティ対策は”投資”」という考えの明確化

　- リスク受容の考え方

・その他の改訂における変更点

　- 新用語の登場

　- サプライチェーンへのセキュリティ対策の重要視化

　- 人材育成の重要視化

・次回テーマ「セキュリティ業界でのプライバシーマーク（Pマーク）の評判」

▼「サイバーセキュリティ経営ガイドライン Ver3.0」経済産業省・独立行政法人情報処理推進機構（IPA）発行

https://bit.ly/3N8XQ0m

▼「中小企業の情報セキュリティ対策ガイドライン第3版」IPA発行

https://bit.ly/3AofSEb

▼SecureNavi CEO:井崎 友博(Twitter)

”ISMSを取得していればセキュリティレベルが高い”

世間一般的に、このように考えられることは珍しくありません。
しかし！本当にISMS認証を取得していればセキュリティレベルは高いのでしょうか。
ISMSを正しく理解していれば、厳密にはそうとはいえないことに気づきます…！
今回は改めてISMSを正しく理解し、どのような情報をもとにセキュリティレベルが高いと判断できるのかについてお話します。

▼ハイライト
・まずはISMSを正しく理解しよう
　- 入退室管理をしなくてもISMSは取得できる！？
　- ISMSの”MS（マネジメントシステム）”とは
　- MSは評価が難しい！ISMS認証では何を評価しているのか
・ISMS認証取得企業のセキュリティレベルを比較するには”適用宣言書”が使えるかも
　- 適用宣言書って何？なぜ作らないといけないの？
・おまけトーク：「XXXの対策をしないとISMS認証を取得できない」という風潮ができてしまった3つの原因解説（個人的見解）
・次回テーマ「ISMSのアドオン認証”27017”について」

巷で噂になっているISMS改定って本当？もしかして今すぐISMS改定対応しないといけないの！？

ISMSの情報に敏感な方は”改定”と聞くとそわそわするのではないでしょうか。ひとまず深呼吸して落ち着いてください。まだ慌てる時間ではありません！

”ISMS改定”と一言で言えど、ISMS認証制度の改定、ISO27001やISO27002などの規格改定と、いくつもの状況が絡み合っています。これらをひとつずつ紐解き、一体今何が起こっているのか、我々はこの改定で何をしなければならないのかをお話します。

▼ハイライト

・話題になっている”ISMS改定”とは厳密に言うと・・・

　- ISMS認証制度とISO27001、ISO27002の関係性

・ISO27002の改定内容

　- 114項目の管理策が93項目に削減・再編成

・改定に伴う具体的な対応項目

・ISO27001改定とISMS審査基準変更の想定時期

・次回テーマ「ISMS vs Pマーク」

▼ISO/IEC 27002:2022 情報セキュリティ，サイバーセキュリティ及びプライバシー保護－情報セキュリティ管理策

個人情報を保管している国を把握していますか？

記念すべき第1回目のテーマは「個人情報保護法27条第1項」！

渋めなテーマですが、実は以外に身近な法律なんです。

例えばネット上で通販などのサービスを利用する際、名前や住所などの個人情報を登録しますが、その個人情報って一体どこの国に保管されているのでしょうか？

一見、日本の個人情報は全て日本国内で保管・管理されているように思えますが、実はアメリカなどの国外だったりします。

「もし国外で保管されていたら何か問題あるの？」と思いますよね、大アリです！

2022年4月より施工される個人情報保護法が日本中の企業に高負荷な対応を要求しているとか...。

▼ハイライト

・個人情報保護法第27条1項って実は企業だけでなく個人としても身近な内容

・2022年4月1日より改正個人情報保護法が施行

・改正での変更点は大きく14箇所

・その中でも日本中の企業が大きな影響を受けるのが個人情報保護法第27条1項

・個人情報保護法第27条1項に伴う企業が4月1日までに対応すべきこととは？

・個人情報保護法第27条1項に伴う対応が軽くなるお役立ち資料紹介

・次回テーマ「日本政府がクラウドサービスを利用する際の基準(ISMAP)」

▼個人情報保護委員会「外国における個人情報の保護に関する制度等の調査結果報告書」