「セキュリティマネジメントって何やるの?」「何がやってあればいいの?」ということが書いてある規格。
WWW 上にあるもの *1 *2 *3 を見てみると……
- BS7799-1 が「すぐに使えるベストプラクティス」で、 BS7799-2 が「セキュリティ管理プロセスの仕様書」
- BS7799-1 は SHOULD で、 BS7799-2 は "SHALL" *4
- BS7799-1 は後に ISO/IEC 17799 になり、 BS7799-2 は後に ISO/IEC 27001 の元ネタの一つになった *5
みたいなことが書いてある。
また、 BS7799-2 は「セキュリティマネジメントシステム (ISMS) を構築するための手順 *6 」であり、「ISMS 適合性評価制度」(認定制度)の基準として使われる *7 。
BS7799-1 には、「10 の管理分野と、36 の管理目的、127 の管理策」*8 が書いてあるらしい。全部で 8 章 *9。
BS7799-2 にはどうやら、セキィリティポリシの作成から内容決定・運用までを含めた、 ISMS のライフサイクルプロセス(PDCA サイクルを含む)が書いてあるみたい。で、これを実行すれば ISMS が構築できるよ、と。
BS7799-1 には対象(何を管理するか)、 BS7799-2 には方法(どうやって管理するか)が書かれている……かと思っていたんだけど違うみたい *10。
*1:http://www.atmarkit.co.jp/news/200109/01/bs.html
*2:http://www.monthlysec.net/isms/isms1.html
*3:http://itpro.nikkeibp.co.jp/article/COLUMN/20060621/241442/
*4:規格書の言葉で「しなければならない」って "MUST" 以外にもあるのね……なんだか規格書というより契約書みたい
*5:元ネタのもう一つは ISMS 適合性評価制度で使われていた「ISMS 認証基準(Ver.2.0)」
*6:手元の本 1: 木村裕一, "2005年版 情報セキュリティアドミニストレータ合格完全対策", 経林書房, 2005
*7:手元の本 2: NRIラーニングネットワーク株式会社, "平成18年度 情報セキュリティアドミニストレータ パーフェクトラーニング過去問題集", 技術評論社, 2006
*8:手元の本 2
*9:手元の本 1
*10:手元の本 1 を読んだ結果。「管理項目」とか書いてあるから……
