- - PR -
少し違和感があるGMITS
1
投稿者 | 投稿内容 |
---|---|
|
投稿日時: 2002-09-11 19:21
[少し違和感があるGMITS]
かちのち、です。 「企業のセキュリティリスクを査定するガイドGMITS」(http://www.atmarkit.co.jp/fsecurity/rensai/guide03/guide01.html)について。 ●情報セキュリティの定義 記事中『GMITSでは、「ITセキュリティマネジメントは、適切なレベルの機密性(confidentiality)、完全性(integrity)、可用性(availability)、責任追跡性(accountability)、真正性(authenticity)、および信頼性(reliability)を達成して維持するためのプロセスである」と定義しており、BS7799やISMS認証基準の情報セキュリティの定義である、「機密性(confidentiality)、完全性(integrity)、可用性(availability)を維持すること」と比較するとより広い範囲または、詳細な範囲をカバーしている。』とあります。 ちょっと違和感があったので再読しました。違和感の原因は、GMITSとBS7799やISMS認証基準を別の切り口で見ているためだと思われます。 私は、BS7799にある3要素を維持することが情報セキュリティの目的であり本質であると理解しています。それを達成するための手段として「責任追跡性」があると理解しています。(これを「CIAA」などと言いますね)「真正性」と「信頼性」はもう少し細部になるような気がします。 「GMITS」は一度読まなくてはいけないと思っているのですが、この記事からは「GMITS」は、どちらかというと実装に近い考え方で、システム構築には参考になりそうだと思われます。いかにもコンピュータ屋さんが構成するグループが提示しそうな内容です。但し、実装は必ずしも本質ではないので、そのあたりは分けて理解したほうが良いのではないかな、とも思います。 ●もう一つ気になるのが、「ITセキュリティのマネジメントおよび計画」で 『・ITシステムの設計、導入、試験、調達、運用に関して、監督責任を負うITの運用管理者』と『・ITシステムを有効活用していくための諸活動について責任を負う管理者』の部分です。 あまり明確に宣言されてはいませんが、BS7799には「セキュリティ管理者の独立性」と言うのが背景にあります。後半がそれに相当するのかな、とも思いますが、あまりはっきりしません。 なにはともあれ、読んでみるべきですね。 |
1