ISO(国際標準化機構)のテクニカルレポートISO/IEC TR13335のことを指す。情報セキュリティ管理をするための手引書であり、各組織のセキュリティレベルを確保し、維持するためのガイドラインである。
BS7799と比較されることがあるが、BS7799が情報セキュリティ寄りであるとすれば、GMITSはITセキュリティ寄りであるという特徴を持っている。1991年にISOにおいてプロジェクト化され、1996年よりTR(標準情報)化されリリースされている。
5部構成からなるITセキュリティのマネジメント手法を示すガイドラインで、組織としてのセキュリティに関する戦略やセキュリティポリシーの必要性、セキュリティポリシーとして必要な項目、企業のセキュリティに関するアプローチの手法などを記述している(下記参照)。
- Part1:ITセキュリティのための概念とモデル
Concepts and models of IT Security - Part2:ITセキュリティのマネジメントと計画
Management and planning IT Security - Part3:ITセキュリティのマネジメント技術
Techniques for the management of IT Security - Part4:セーフガードの選択
Select of safeguards - Part5:ネットワークセキュリティ上のマネジメントガイダンス
Management guidance on Network Security
こういった点から、実践的なセキュリティのガイドラインとして、BS7799とともに注目されているが、BS7799はJIPDEC(日本情報処理開発協会)によってISMS(情報セキュリティマネジメントシステム)として認証・制度化された点で一歩先に出ている。BS7799やISO/IEC15408ではカバーしきれない、技術的運用面を補完する制度として、今後のJIS化が期待されるところである。
関連用語
Copyright © ITmedia, Inc. All Rights Reserved.