« 経産省と文科省が足並みを揃え、IT業界の人材育成 | トップページ | さらに「情報セキュリティ格付け」 »

2007年7月26日 (木)

「情報セキュリティ格付け」は、いかにして行われるか?

7/19の記事「情報セキュリティ格付け制度研究会」設立の続きです。

これ以降、いちおう「公認情報セキュリティ主任監査人」という肩書きも持っているので、「『情報セキュリティ格付け』は、どのように行われるんでしょうか?」というようなご質問を多数受けております。

7/19の記事「このようなことはNISCの「第1次情報セキュリティ基本計画」「セキュア・ジャパン2007」、経済産業省の「情報セキュリティグローバル戦略」あたりにも書かれてますよね」なんてことを書きましたが、中でも経済産業省の「グローバル情報セキュリティ戦略」の【報告書】のP.29~、をご覧いただくのが一番わかりやすいと思います。

ここでは、以下のような記述があります。

4.1 戦略1:情報セキュリティ先進国の実現
(2)企業の領域
a)情報セキュリティ対策状況にかかる情報開示を通じた民間格付けの促進等

企業の情報セキュリティに対する取組みが、顧客、取引先、株主など主要なステークフォルダーから適切に評価されるためには、各企業の取組みが比較可能な形式で提示される必要がある。このため、政府及び関係機関は、普及広報活動の強化を通じて、情報セキュリティ報告書を始めとする情報セキュリティに関わる取組み等の自発的開示が進展するような環境を醸成し、民間企業による情報セキュリティ格付けを促進する。

b)企業や製品・サービス等に係る情報セキュリティ関連評価制度の拡充・強化
政府及び関係機関は、情報セキュリティ監査制度、情報セキュリティ対策ベンチマーク、ITセキュリティ評価及び認証制度、JCMVP等の情報セキュリティ関係評価制度の普及を引き続き進めるとともに、ビジネスプロセス、Webサービス、外部委託先等を対象とした情報セキュリティ評価制度の可能性に関して検討を行う。

ここでは他にも「リスクの定量化」などにも触れており、上記の「b)企業や製品・サービス等に係る情報セキュリティ関連評価制度の拡充・強化」に挙げられているような制度を通じての促進が検討されていくであろうことがお分かりいただけると思います

|

« 経産省と文科省が足並みを揃え、IT業界の人材育成 | トップページ | さらに「情報セキュリティ格付け」 »

お役立ちのイベント・資料・書籍・情報」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/7276569

この記事へのトラックバック一覧です: 「情報セキュリティ格付け」は、いかにして行われるか?:

« 経産省と文科省が足並みを揃え、IT業界の人材育成 | トップページ | さらに「情報セキュリティ格付け」 »