【情報システムセキュリティの目的】
情報システムセキュリティの目的は、情報システムに依存する者を可用性・機密性・完全性の欠陥に起因する危害から保護することである。
可用性(Availability) :情報を必要なときに必要な人がアクセスして利用できること
機密性(Confidentiality) :情報を利用する権限のある者のみに開示されること
完全性(Integrity) :データおよび情報が正確かつ完全であり、それが維持されていること
ISO/IEC 27001:2005 ではさらに下記特性を維持することも追加されている
真正性(Authenticity) :利用者、プロセス、システム、情報などが本物(実体が純正)であること
責任追跡性(Non-repudiation) :事象の発生を後から否認されないように証明する能力があること
信頼性(Reliability) :矛盾の無い計画通りの動作および結果を保証できること
【情報セキュリティマネジメントシステムの定義】
『マネジメントシステム』とは、企業・組織の活動目標や目的および方針を決め成果を上げることと、継続的な改善を図っていくための経営管理の仕組みである。
【ISMS(Information Security Management System)規格】
ISMS規格は次の3つから構成されている。
①要求事項(Requirements)
②管理策(Controls)
③関連規格
ISMS規格の生い立ち
1989年 イギリスの貿易産業省が産業界と協力して情報セキュリティの実践から得られた慣行を「User Code Practice」として取りまとめた。
英国規格協会(BSI)はこれを元にしてBS7799「情報セキュリティの実践のための規範(Code of Practice for Information Security)」を発表する。
その後、イギリスはBS7799のISO化を提案し
2000年 「ISO/IEC 17799:2000 情報セキュリティマネジメントの実践のための規範」が完成した。
2000年7月 通商産業省(現経済産業省)は、BS7799を参考にして「ISMS適合性評価制度」を新設する。
2002年 OECD がガイドラインを発行する。
2005年5月 ISO/IEC 17799:2005を発行。2007年にISO/IEC 27002 へ改称する。
2005年10月 「ISO/IEC 27001 情報セキュリティマネジメントシステム-要求事項」が発行される。
2006年5月 JIS Q 27001 ,27002 を発行。
【関連規格】
(1)ISO 19011 品質及び/または環境マネジメントシステム監査のための指針
(2)ISO/IEC 20000 情報システムの運用管理に関わるITサービスマネジメント規格
(3)BS 25999 BCM(Business Continuity Management)規格
(4)ISO/IEC 15408 情報セキュリティ評価基準
(5)個人情報保護 PMS(Personal Information protection Management Systems) JIS Q 15001:2006
OECDガイドラインでは、一定のルールを定めることにより個人情報の保護と流通を図ることを目的として制定している。