情報セキュリティ管理基準には「コントロール」と「サブコントロール」というものがある。で、これらの項目数が、元々の BS7799 にあった管理策の「128 個」とかより明らかに多くて、それぞれ 130 とか 960 とかある *1。
これってどこから来たの? という話。
で、@IT の記事 *2 によると……
- BS7799-1 (つまり ISO/IEC 17799 であり JIS X 5080 である)の管理策には、一つの項目で複数の物事をチェックしようとしているものがあったらしい。それをバラして(ちゃんと 1:1 になっているかは不明)できたのが「コントロール」で、これが 130 とか 131 とかあるらしい。
- JIS X 5080:2002 には「管理策」より細かい「管理策(コントロール)のガイダンス」なるものがあるらしい。で、これが項目立てされてなかったので、ちゃんと項目立てしてやったら 960 項目とかになったらしい。
もう少し噛み砕いた内容としては、 JETRO の記事 *3 が参考になるかも。
*1:資料によって示されている数が違うので詳細は保留
*2:駒瀬彰彦, "情報セキュリティマネジメントシステム基礎講座 第7回 期待が高まる「情報セキュリティ監査制度」", http://www.atmarkit.co.jp/fsecurity/rensai/guide07/guide01.html, 2003
*3:下村正洋, "セキュリティに対する現状認識と法制度", http://www.jetro.go.jp/jetro/activities/high-tech/tigergate/ict/techno/lecture2003/yokohama01/report09.html
