« 内閣官房 電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究 | Main | IPA 情報セキュリティ早期警戒パートナーシップガイドラインの改訂 »

2005.07.12

総務省 情報セキュリティ対策 2005

 こんにちは、丸山満彦です。海外にいるときは、日本のことをほとんど忘れていました・・・。古い話がつづきますが、自分への備忘録ということで・・・・。

 
■総務省 2005.07.07
次世代IPインフラ研究会 第二次報告書の公表

====
検討事項
  ① インシデント対応の現状と課題
  ② ユビキタスネット社会におけるセキュリティ確保(情報家電のネットワーク接続に伴う課題)
  ③ 電気通信事業における情報セキュリティマネジメント
  ④ セキュリティ人材の不足

今後集中的に取り組むべき課題
  ① 「ネットワーク」を通じた障害の広域化への対応
  ② ネットワークに繋がる「モノ」の多様化への対応
  ③ 「人材」面の脆弱性の克服
=====

ところで、ISMSの認証について明言していますね。

====
ある組織が自ら確立したISMS に適合しているか否かを評価するに当たっては、審査の申請を受けた第三者(審査機関)において、

① ISMS 認証基準と文書の整合性
② セキュリティポリシ等と現状との整合性

について審査を行い、当該組織におけるISMS が適切と判断できれば、認証を与えることになる。
ここでは、審査を希望する組織(事業所)、その組織におけるISMS認証基準とその適用範囲を確認の上、当該組織の責任者による承認が適正になされているか否か、という点のみを審査することになる。
換言すれば、第三者による審査においては、

① 審査対象となる組織自身が実施するリスク分析等に抜けがないかどうか、
② 責任者による判断が正しいかどうか、

という点は、審査対象とならないものである。
すなわち、第三者の審査は、組織の中でP-D-C-Aサイクルが適正に実施されているか否かを評価するものであり、組織内において一定水準以上のセキュリティ対策が実施されていることを保証しているものではない点に、留意する必要がある。
==== 

こういう内容をきちんと説明することは非常に重要ですね。ISMSが無意味だといっているのではなく、正しくISMSの認証を理解すること(認証の限界などを理解することなど)が第三者認証制度を普及させるためには重要だということです。

なので、「第三者認証制度をとっていれば大丈夫」なんてことを言って認証を進めるコンサルタントや、限界をしめさず、「このマークを取っていれば大丈夫」なんてことを言って認証ビジネスをしている団体は怪しいと思ってください


【参考】
■IT Media 2005.07.07
総務省、研究会の検討踏まえ「情報セキュリティ政策2005」提言

■このブログ
総務省意見募集 次世代IPインフラ研究会 報告書(案) 2005.05.27


このブログの中の意見は私見であり、所属・関係する組織の意見ではないことをご了承ください。


|

« 内閣官房 電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究 | Main | IPA 情報セキュリティ早期警戒パートナーシップガイドラインの改訂 »

Comments

Post a comment



(Not displayed with comment.)




TrackBack

TrackBack URL for this entry:
http://app.cocolog-nifty.com/t/trackback/64462/4936063

Listed below are links to weblogs that reference 総務省 情報セキュリティ対策 2005:

» 「情報セキュリティ対策はどうあるべきか」、総務省・大塚寿昭氏 [Anzen-Anshin.News]
http://nikkeibp.jp/wcs/leaf/CID/onair/jp/biz/412041 政府の情報セキュリティ対策は?参考にご覧になってはいかがでしょうか? 関連サイト http://nikkeibp.jp/sj2005/special/64/ http://internet.watch.impress.co.jp/cda... [Read More]

Tracked on 2005.11.08 at 10:20

« 内閣官房 電子政府におけるセキュリティに配慮したOSを活用した情報システム等に関する調査研究 | Main | IPA 情報セキュリティ早期警戒パートナーシップガイドラインの改訂 »