« 「情報セキュリティ格付け」は、いかにして行われるか? | トップページ | ハードトークンが来た »

2007年7月27日 (金)

さらに「情報セキュリティ格付け」

今日も「情報セキュリティ格付け」ねたです。

昨日7/26の日経ITproに「『あなたの会社はBB+』,情報セキュリティの格付けが始まる」 というのがありました。

ここでは実験(昨年らしいです)に使われた指標なども公開されています
※ これらは、今後の検討で変更になる可能性があります。

評価の対象は、以下の11分野

1 組織風土の醸成,リーダーシップの発揮
2 リスク・コミュニケーション1(共通概念化)
3 リスク・コミュニケーション2(情報開示)
4 リカバリー力(脆弱性が顕在化した場合のリスク耐久力)
5 第三者評価(監査・検査・認証など)
6 情報セキュリティ・マネジメント・システムの確立
7 教育・訓練,認識および力量
8 リスクアセスメント
9 情報セキュリティ・マネジメント・システムの導入および運用
10 コンプライアンス1(個人情報保護法)
11 コンプライアンス2(不正競争防止法)

格付けレベルは、以下の6段階

レベル5(AAAISM) 最適化
統合されたプロセスを用いて,高水準の管理状態を維持発展している状態
レベル4(AAISM) 目標管理
客観的な指標を用い,品質を高めるための目標管理を実施している状態
レベル3(AISM) 組織的管理
明確に定義した手順書などに基づき,組織的な管理を実施している状態
レベル2(BBBISM) 静的管理
文章化した手順に基づく計画策定や結果追跡が
可能な管理を実施している状態
レベル1(BBISM) 簡略的管理
特定の人員に依存して,イベント対応型の管理を実施している状態
レベル0(BISM) 初期段階
プロセスを確立していない初期段階,など

昨日の記事で「なぜ、制度の中にプライバシーマークとISMSがないのか」という質問も受けました。
その答えが、この記事にも書かれています。

プライバシーマークやISMSだけでは,企業のセキュリティ対策の実態が見えにくくなってきたことがある。プライバシーマーク取得企業は,6月末時点で約8000社に上る。

ISMS認証取得企業は2200社を超えた。これだけ取得企業が増えると,取り引きするほとんどの企業がプライバシーマークやISMSを取得している,といったケースも生まれる。その場合,いずれの企業も一定水準以上の情報セキュリティ対策を講じていることは分かっても,どの企業がより高いレベルにあるか,は分からない。
そこで重要になるのが,情報セキュリティ対策のレベルを測る“物差し”である

(他にも理由があるのですが)とにかくプライバシーマークとISMSでは「比較可能」にならないのが最大の理由です。

|

« 「情報セキュリティ格付け」は、いかにして行われるか? | トップページ | ハードトークンが来た »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/7283074

この記事へのトラックバック一覧です: さらに「情報セキュリティ格付け」:

« 「情報セキュリティ格付け」は、いかにして行われるか? | トップページ | ハードトークンが来た »