Untitled

第１章　安全対策基準とは

１．１　安全対策基準の定義

１．１．１　安全対策基準の定義

安全対策基準を以下の様に定義づける。
すなわち、

　「システムに対するあらゆる脅威を想定し、信頼性、安全性、効率性の向上をめざしつつ、そのシステムの価値、重要性、機密性を考慮した総合的な対策の基準」

とする。

安全対策の種々の要件は、システム企画～開発～運用までの様々な局面に存在し非常に広範囲にわたる。これらを便宜上、

(1)自然災害対策
(2)システム障害対策
(3)防犯対策

の３つの要素に分類し、それを

(4)関連法規
(5)システム監査

で統制するというのが安全対策基準策定のイメージである。

それぞれの要素を簡単に説明する。

(1)自然災害対策
a.防災対策
・事前予防対応
・発生事対応（連絡体制）
・教育、訓練
・バックアップセンタの設営

(2)システム障害対策
a.バックアップシステム
・システム二重化
・回線二重化
b.重要データのバックアップ

(3)防犯対策
a.アクセスコントロール
・パスワード
・端末識別機能
b.企画、開発、運用コントロール
c.入退室、入退館管理
d.機材、備品、媒体の搬入、搬出管理
e.推進体制と訓練

(4)関連法規
a.電子計算機システム安全対策
b.システム監査基準
c.コンピュータウィルス対策基準
d.セキュリティ評価基準
e.建築基準法
f.消防法
g.電気通信事業法
h.著作権法
i.刑法
j.不正競争防止法

(5)システム監査
a.内部統制、内部監査
b.外部監査

これら安全対策基準を検討する上でのキーワードとして、

「抑制」「防止」「検出」「回復」「管理」

の５つをあげることができる。

抑制
主に人間に対して、障害を与える行動を思いとどまらせる。

防止
脅威が顕在化する機会を防止する。

検出
顕在化した脅威を早期に認識する。

回復
脅威が発生しても被害を最小にくい止め、データの処理機能を復元させる。

管理
抑制、防止、検出、回復の安全対策機能を効果的に働かせる。

また、安全対策基準とは、セキュリティマネジメントの指針と言い替えることもできる。

情報技術スキルアップの種のページへ

GLORY's OFFICEへ