Last-modified: 2007-08-31 (金) 22:06:18 (6054d)
基本的な知識を備忘のためにメモしておきます。
ISO †
IEC †
ISO/IEC TR 13335 (GMITS) †
- Guidelines for the management of IT Security
- Part 1 ~ Part 5まである
- Part 3「Techniques for the management of IT Security」では,リスク分析の手法について規定している
- ISO/IEC 27001や27002(17799)には、リスク分析に関して詳細な記述がない
ISO/IEC 15408 †
- Evaluation criteria for IT security
- 情報技術に関連した製品やシステムのセキュリティ品質を確保するための要件と,評価のための基準を標準化
- 米TCSEC(Trusted Computer System Evaluation Criteria)と、欧ITSEC(Information Technology Security Evaluation Criteria)を統合する為、CC(Common Criteria)プロジェクトが発足し、ISO/IEC 15408が生まれた
- EAL(Evaluation Assurance Level)という評価保証レベルで、製品またはシステムのセキュリティ品質を7段階で評価する
ISO/IEC 27001 †
- Information security management systems -- Requirements
- 何をしなければならないか
- 英国規格協会BSIが発行したBS7799-2が元
- 日本語訳 「JIS Q 27001」
ISO/IEC 27002 (17799) †
- Code of practice for information security management
- どのようにすればよいか
- 英国規格協会BSIが発行したBS7799-1が元
- 日本語訳 「JIS Q 27002」
|