Untitled

BS7799の概要

★BS（英国工業規格）7799とは？
・DTI（英国貿易産業省）及びBSI（英国産業規格協会）により作成されたセキュリティマネジメント規格。
・パート１（標準行動規約：情報システムの安全対策を指導：1995年策定）とパート２（標準規格としての情報セキュリティ・マネージメントのためのマネージメントの枠組み、目的等を指定：1998年策定）から構成される。
・組織内で情報セキュリティに責任を持つ管理者及び従業員への参照文献となることを目的とし、組織のセキュリティ規格の基本との位置づけ。主に民間企業を対象。
・ガイダンス及び勧告形式をとる。
・BS7799に基づく認定制度（「c:cure」セキュアと発音）を1998年4月に発足。

★BS7799制定の背景
・ITSECとBS7799により英国産業の育成を図ることが目的。
・技術のみによるセキュリティ対策では法外に高価になり現実的でない。リスクマネージメントによるセキュリティ対策がより現実的との認識。
・取引先のセキュリティ適性を確認する手段。

★普及状況
・導入済：英国、オランダ、オーストラリア、ニュージーランド、南アフリカ
・検討中：ノルウェイ、デンマーク、スウェーデン、ポーランド、ハンガリー
　　　　

★今後の動向（英国の戦略）
・パート２の国際標準化を進めるとともに、MRA方式でコモン･クライテリア化を模索中（1995年に国際標準化を図ったが、各国の賛成が得られなかった）
・c:cureにより、証明スキームと監査スキームを柱にセキュリティ・コンサルタントと監査人の養成を図り、BS7799のコモン・クライテリア化を推進する。

★所感
・まもなくISO化されるものと思われる。
・日本国内でもBS7799関連の認証制度を、民間主体で構築していく必要がある。
・システム監査基準もこのBS7799と整合性を取った形に変えていく必要がある。

以上

（1999年9月システム監査人協会月例会より）

情報技術スキルアップの種のページへ

GLORY's OFFICEへ