情報セキュリティ組織・機関やセキュリティ技術評価は,基本情報技術者試験をはじめとする情報処理技術者試験で必須となる重要分野です。各制度や組織の目的・役割を正しく理解できていますか?
情報セキュリティ組織・機関・評価制度=情報資産を守るしくみ
このページでは,CSIRTの役割やCSIRTマテリアル,コモンクライテリアの評価基準,ISMS適合性評価制度のしくみについて,試験対策としてシンプルにまとめています。
情報セキュリティ組織・機関とは
CSIRT(Computer Security Incident Response Team)とは
CSIRTとは,情報セキュリティインシデントへの対応を行う組織のことをいいます。
※ 組織内CSIRT…企業などの組織内で発生した情報セキュリティインシデントに対応する
※ JPCERT/CC…JPCERTコーディネーションセンター。情報セキュリティインシデントに関する窓口業務を行い,対応支援や情報提供を行う。国内外の関係組織と連携し,情報セキュリティ対策の向上に取り組んでいる
CSIRTマテリアルとは
CSIRTマテリアルとは,組織内CSIRTの構築を支援する目的で作成されたガイドラインのことをいいます。
※ JPCERT/CCが公開している
セキュリティ技術評価とは(目的と基準)
コモンクライテリア(CC;情報技術セキュリティ評価基準)とは
コモンクライテリアとは,情報システムのセキュリティを評価するための枠組みを規定する国際規格のことをいいます。
※ ISO/IEC 15408で国際標準として規格化されている。日本では,JIS X5070
その他
ISMS適合性評価制度とは
ISMS適合性評価制度とは,企業のISMSがJIS Q 27001に準拠していることを評価して認定する評価制度をいいます。認証機関に申請し,審査の結果,認証されると,ISMS認証を取得できます。
※ ISMS適合性評価制度は,日本情報経済社会推進協会(JIPDEC)の評価制度である
まとめ
今回は,情報セキュリティ組織・機関,セキュリティ技術評価,その他制度についてシンプルにまとめてみました。CSIRTやCSIRTマテリアル,コモンクライテリア,ISMS適合性評価制度は情報セキュリティ分野で頻出の用語・制度です。それぞれの役割や目的,関係性を理解しておくことが重要です。
試験では,単に用語を覚えるだけでなく,制度の目的やしくみを体系的に理解することが求められます。
理解が進んだら,基本情報技術者試験の過去問題等にもチャレンジしてみてください。
