情報セキュリティコンサルティング 情報セキュリティの標準化

情報セキュリティ対策をどの程度打てば情報を秘密として管理したことになり、情報管理についての社会的な責任を果たせるのでしょう。このために国際間の合意のもとで情報セキュリティの標準化が進められております。

セキュリティ基準

ISO/IEC 15408

ISO15408の正式名称は、ISO/IEC15408 (情報技術セキュリティ評価基準) で、1999年に発行されました。この標準は、IT製品やシステムのセキュリティ機能の検証と、開発/製造/運用に関する資材を検査し、セキュア化を評価するための基準です。

日本では、2000年、ISO15408に沿って、JIS標準(JIS X5070)が制定されました。欧米では、製品やシステムがISO15408に準拠しているか否かを検証し、認証書を発行するセキュリティ評価・認証制度が運用されています。

現在の最新版は「ISO/IEC 15408:2005」となっています。日本でも、2001年4月、「ITセキュリティ評価及び認証制度」がスタートしました。2005年12月には内閣官房情報セキュリティセンターから提示された「政府機関の情報セキュリティ対策のための統一基準(2005年12月版[全体版初版])」 においてもIT製品・システムを調達する時に、ISO15408に基づき評価・認証された製品の利用が推進されています。

ISO/IEC TR 13335(GMITS)

ISO/IEC TR 13335(「Guidelines for the Management for IT Security」通称:GMITS) は、ITセキュリティのマネジメント手法を示すガイドラインです。組織としてのセキュリティに関する戦略やセキュリティポリシーの必要性、セキュリティポリシーとして必要な項目、企業のセキュリティに関するアプローチの手法等を記述しています。

ISO/IEC 27001・ISO/IEC 17799(27002)・ISMS認証基準

ISO17799のもとになるBS7799の名称は、A Code of Practice for Information Security Managementで、英国の標準です。英国のBSI/DISC委員会が主に組織、教育等の運用面でのガイドラインを「Information security management」(BS7799)として作成しました。セキュリティの運用面での基準として、世界で広く利用されています。

BS7799は以下の2部で構成されています。
(第1部:情報セキュリティ管理実施基準、第2部:情報セキュリティ管理システム仕様)

第1部は2000年にISO/IEC 17799:2000として採用されました。これを受けて、日本でもこの規格の日本語版をJIS X 5080:2002として規格化しています。現在の最新版は「ISO/IEC 17799:2005」となっており、今後「JIS Q 27002」として発行される見通しです。

第2部は日本では独自制度としてISMS認証基準として運用していましたが、2005年にISO/IEC 27001:2005として採用されました。今後、「JIS Q 27001」として発行される見通しです。現在、ISMS適合性評価制度で利用されているISMS認証基準Ver.2.0はJIS Q 27001(ISO/IEC 27001)に移行する見通しです。

セキュリティ標準の動向

イメージ

お問い合わせはこちら

Webでのお問い合わせ

電話でのお問い合わせ