ISO 27001

🔥 Vibe プロンプト

「ISO 27001 ISMSを実装:スコープ定義、リスク評価、SoA、内部監査。」

ISO 27001条項

4. 組織の状況
5. リーダーシップ
6. 計画(リスク評価、SoA)
7. 支援(リソース、トレーニング)
8. 運用(リスク処理計画)
9. 評価(内部監査、マネジメントレビュー)
10. 改善(是正処置)

ISMSスコープ例

対象:
- AWSインフラ(us-west-2)
- Webアプリ(app.myapp.com)
- モバイルアプリ(iOS, Android)
- エンジニアリングチーム(25人)

対象外:
- 経理システム(QuickBooks)
- 人事システム(BambooHR)

リスク評価

| ID | リスク | 可能性 | 影響 | スコア | 対策 |
|----|-------|--------|------|-------|------|
| R01 | データ漏洩 | 2/低 | 4/重大 | 8 | 暗号化、WAF、IDS |
| R02 | サービス停止 | 3/中 | 3/高 | 9 | HA、マルチAZ、バックアップ |
| R03 | 内部脅威 | 2/低 | 3/高 | 6 | アクセスレビュー、ログ |

SoA(適用宣言書)

| Annex Aコントロール | 適用 | 理由 |
|-------------------|------|------|
| A.5 - セキュリティポリシー | ✅ | ガバナンス必須 |
| A.9 - アクセス制御 | ✅ | RBAC、MFA、レビュー |
| A.10 - 暗号化 | ✅ | 保存+転送暗号化 |
| A.11 - 物理セキュリティ | ❌ | AWS責任範囲 |
| A.16 - インシデント管理 | ✅ | 対応計画、テスト |
| A.17 - 事業継続 | ✅ | DR計画、バックアップ |

内部監査チェックリスト

# アクセス制御(A.9)内部監査
- [ ] アクセス制御ポリシー文書化
- [ ] ユーザー登録/削除プロセス
- [ ] 権限レビュー(90日毎)
- [ ] 退職時のアクセス削除
- [ ] パスワードポリシー適用
- [ ] MFA実装
- [ ] 15分セッションタイムアウト

認証プロセス

月1-2月: ギャップ分析とスコープ定義
月3-4月: リスク評価とSoA
月5-6月: ポリシーとコントロール実装
月7-8月: トレーニングと文書化
月9月: 内部監査とマネジメントレビュー
月10月: 是正処置
月11月: 第1段階監査(文書レビュー)
月12月: 第2段階監査(実装監査)
→ 認証3年有効(年次サーベイランス監査)

PDCAサイクル

Plan: ISMS確立(スコープ、ポリシー、リスク評価)
Do: コントロール実装(ポリシー、トレーニング、技術)
Check: 監視、測定、監査
Act: 是正処置、継続的改善

ベストプラクティス

  • 明確なスコープから開始(カバーしすぎない)
  • リスク評価ツールを使用
  • 経営陣のコミットメント獲得
  • 実際に守られるポリシーを作成
  • 認証前に内部監査実施
  • PDCAサイクルの徹底
  • 可能な限り証拠収集を自動化

重要なポイント

  • コアコンセプトをしっかり理解する
  • ハンズオンコード例で実践する
  • 実世界の問題に応用する
  • 演習で知識を強化する

さらに学ぶ

  • 公式ドキュメント
  • GitHubのオープンソースプロジェクト
  • コミュニティフォーラムとディスカッション
  • 関連コースとチュートリアル

完全なチュートリアルをロック解除

このチャプターは有料コンテンツです。プロジェクトに参加して、10以上の神レベルのPromptや実際のソースコード例を含む、5000字以上の深い分析をロック解除してください!