 |
|
| 企業の社会的責任に必要な情報セキュリティマネジメント |
第1回:情報セキュリティ管理に関連する規格・法制など(前編)
著者:みずほ情報総研 牛尾 浩平 2006/5/18
|
|
|
| 前のページ 1 2 3 次のページ
|
|
| BS7799
|
BSI(British Standards Institution:英国規格協会)によって1995年に作成された「BS7799」は後に、情報セキュリティ管理のベストプラクティスである「BS7799-1(情報セキュリティマネジメントのための実践規範)」と、ISMS(情報セキュリティマネジメントシステム)の要求事項である「BS7799-2(情報セキュリティ管理システム仕様)」の2部構成に別れた。
いずれも後の「ISO/IEC 17799」「ISO/IEC 27000シリーズ」および国内の「JIS X 5080」「ISMS適合性評価制度」のISMS認証基準に影響を与えている。
|
| ISO/IEC17799、JIS X 5080、JIS Q 27002
|
「BS7799-1」は2000年12月にISO化され「ISO/IEC17799:2000」が発行されたが、2005年6月には改訂され「ISO/IEC 17799:2005」となった。そして2007年には「ISO/IEC 27002:2007」となる予定である。
国内では「ISO/IEC 17799:2000」を基に、2002年2月に「JIS X 5080:2002」が制定され、2006年5月20日には「JIS Q 27002:2006」が制定される予定である。
|
| ISMS認証基準、ISO/IEC 27001、JIS Q 27001
|
ISMSの要求事項である「BS7799-2」は1999年に発行されたが、2002年には改訂されて「BS7799-2:2002」となった。国内では2002年4月にJIPDECによりISMS適合性評価制度が確立され、「ISMS認証基準(Ver.1.0)」が「ISO/IEC 17799:2000(JIS X 5080:2002)」を基にしながらも「BS7799-2」を参考にして作成された。
そして2003年4月には、「BS7799-2:2002」を基に「ISMS認証基準(Ver.2.0)」が作成されている。また「BS7799-2:2002」は2005年10月にISO化され、「ISO/IEC 27001:2005」となっている。それを受け国内では、2006年5月20日には「JIS Q 27001:2006」が制定される予定である。
認証の基準の変化により、附属書「詳細管理策」(注1)の領域分類や管理策が一部変更されているが、要求事項の本質的な大きな修正・追加はないといえる(表2)。
※注1:
「ISMS認証基準(Ver.2.0)」での名称であり、情報セキュリティを確保するための具体的な対策を示す。
表2:認証の基準の附属書「詳細管理策」の変遷 (画像をクリックすると別ウィンドウに拡大表示します)
|
| 情報セキュリティ監査制度
|
情報セキュリティ監査制度とは、経済産業省により設立された日本セキュリティ監査協会(JASA)が2003年4月に開設した制度である。組織としてISMS認証を取得するレベルまでには到達していなくても、独立かつ専門的知識を持った者に対して、情報セキュリティ対策の評価を依頼するニーズや、監査を受けた上で得た「保証」を商取引などにおいて活用したいとのニーズに応じることができる。
民間企業や政府、地方自治体などの情報セキュリティ対策の監査を目的としたこの制度のポイントを表3に示す。
| ポイント |
説明 |
監査の対象と
その視点 |
情報システムのセキュリティだけではなく、情報資産全体のセキュリティマネジメントが監査の対象で、マネジメントサイクルが構築され、適切な対策がなされているかといった視点で監査がなされる。 |
多様な
監査方式 |
外部目的の保証型監査や内部目的の助言型監査、組織全体の監査や一部の監査など多様な監査ニーズに応じた監査方式を選択できる。
「保証型監査」は、「不備はなかった」ということを示す。「助言型監査」は、「不備な点はここ」ということを指摘する。 |
標準的な
監査基準 |
客観的に定められた国の基準(2003年4月に告示された「情報セキュリティ管理基準」および「情報セキュティ監査基準」)に基づき監査がなされる。
「情報セキュリティ管理基準」はISO/IEC17799(JIS X 5080)を基に策定。 |
独立した
監査主体 |
「情報セキュリティ監査企業台帳」に任意登録された一定の要件を満たす独立した専門家により監査がなされる。 |
表3:情報セキュリティ監査制度のポイント
参考:JASA「情報セキュリティ監査制度とは」
|
前のページ 1 2 3 次のページ
|
|
|
|
|
著者プロフィール
みずほ情報総研株式会社 システムコンサルティング部
コンサルタント 牛尾 浩平
2002年、東京大学大学院工学系研究科修了、富士総合研究所(現みずほ情報総研)に入社。次世代情報システム基盤に関するコンサルティング、ナレッジマネジメントパッケージソフト開発など様々なプロジェクトに参加した後、2003年より情報セキュリティ管理に関連するコンサルティング、監査、セキュリティポリシーの策定支援などの業務を主に実施。システム監査技術者。
|
|
|
|
|
|
