BSI(英国規格協会)によって規定される、企業・団体向けの情報システムセキュリティ管理のガイドラインのことを指す。特にセキュリティの運用管理に重点が置かれている点が特徴。
BS7799-1は情報セキュリティ管理実施基準であり、ISO/IEC17799として発行された。BS7799-2は情報セキュリティ管理システム仕様であり、日本でもISMS(Information Security Management System)適合性評価制度として派生している。
ISO/IEC15408と並んで現在最もポピュラーなセキュリティの規格である。上記で述べたように、製品に対する評価認証を行うものではなく、セキュリティマネジメントの規格としての意味合いが強いことが、BS7799が幅広く有用性を認識された理由であることは疑いの余地がなく、現状では最も洗練されたセキュリティマネジメント規格であるといってよい。
製品のセキュリティ評価基準であるISO/IEC15408の場合、ときには提示されたプロテクションプロファイル(PP)からセキュリティターゲット(ST)を起こさねばならず、その製品に対するセキュリティ要件の実装の確かさを検証するまでに多くの費用がかかることが懸念される。BS7799-1の場合、リスクマネジメントに基づくコンプライアンスプログラム(個人情報保護措置)を示すものであるので、ハードウェアに対する開発投資と比べて各段に安価に導入できるという大きなメリットがある。
関連用語
Copyright © ITmedia, Inc. All Rights Reserved.