Upload
vukhanh
View
238
Download
0
Embed Size (px)
Citation preview
Copyright©2004 J-ISMS UG 1
ISOにおけるセキュリティマネジメント国際標準動向
日本ISMS ユーザグループ第1回情報セキュリティマネジメントセミナ
日本ヒューレット・パッカード株式会社永沼美保
2004/11/18
Copyright©2004 J-ISMS UG 2
Agenda
• ISOの組織:ISO/JTC1/SC27• ISO17799 改訂• ISMS Specification• ISMS Metrics and measurement• Risk Assessment • Road Map
Copyright©2004 J-ISMS UG 3
JTC1
SC1 SC17 SC27 SC37
SecurityTechnique
ISOの組織(1)
ISO国際標準化機構
IEC国際電気標準化会議
Bio Metrics
Copyright©2004 J-ISMS UG 4
暗号アルゴリズムの標準化
セキュリティマネジメント関連の標準化
セキュリティ評価基準関連の標準化
ISO/IEC JTC1 SC27
WG1Requirements,
Security services, Guidelines
WG2Security techniques
and mechanisms
WG3Security Evaluation
criteria
ISOの組織(2)
Copyright©2004 J-ISMS UG 5
参加国
• Europe– 英、独、仏、伊、ベルギー、スイス、ノルウェー、オランダ、フィンランド、オーストリア、デンマーク、アイルランド、スウェーデン、ハンガリー、ルーマニア、スロベニア、エストニア、ポーランド、スペイン
• Asia & Oceania– 韓国、中国、インド、マレーシア、シンガポール、日本、オーストラリア、ニュージーランド
• N.America & Latin America– 米国、カナダ、ブラジル
• Africa – 南アフリカ、ケニヤ
赤字はブラジル会合参加国
Copyright©2004 J-ISMS UG 6
国際標準関連文書の作成プロセス
WD CD FCD FDIS ISNP
International StandardInternational Standard ((IS)IS)
通常3~4年
WD DTR FDTR TRNP
Technical ReportTechnical Report ((TRTR))
New workitem Proposal
WorkingDraft
CommitteeDraft
FinalCommitteeDraft
FinalDIS
Int’lStandard
Green:投票の実施
Copyright©2004 J-ISMS UG 7
ISO/IEC JTC 1/SC27
• ISO/IEC 13555 Management of ICT security (MICTS)
• ISO/IEC 17799 Code of practice for information security management
• ISO/IEC 18028 IT Network security• ISO/IEC 18043 Selection, deployment and
operations of intrusion detection systems• ISO/IEC 18044 Information security incident
management • ISMS Requirements specification• ISMS Metrics and measurements
Copyright©2004 J-ISMS UG 8
ISO/IEC 17799 改訂の流れ
Industry ‘Code of practice for
information security management’出版
1992
BS 7799‘Code of
practice’出版
1995
BS 7799改訂版出版
1999
BS 7799 投票にて早期標準化が決定され、ISO/IEC
17799として出版
2000
ISO/IEC 17799 改訂の開始
2001
Revision of ISO/IEC 17799がFDIS段階
となる
Oct 2004
ISO/IEC 1779:2005
(改訂版)の発行
mid-2005
Copyright©2004 J-ISMS UG 9
ISO/IEC 17799 改訂作業
• 23カ国による改訂への貢献• 2500以上のコメントの提出及び審議(2001-05)• Technical commentsの審議を2004年10月に終了• 次回国際会合において、editorial commentsを処理後、最後の投票を実施
• 2005年に出版予定
Copyright©2004 J-ISMS UG 10
2000年版セキュリティ方針
セキュリティの組織
資産の分類及び管理
人的セキュリティ
物理的及び環境的セキュリティ
通信及び運用管理
アクセス管理
システム開発及び保守
事業継続計画
適合性
ISO/IEC 17799 の改訂2005年版
Security policy
Organising information security
Asset management
Human resources security
Physical & environmental Security
Communications & operations management
Access control
Information systems acquisition, development and maintenance
Business continuity management
Compliance
Information security incident management
Copyright©2004 J-ISMS UG 11
2005年版Security policy
Organising information security
Asset management
Human resources security
Physical & environmental security
Communications & operations management
Access control
Information systems acquisition, development and maintenance
Business continuity management
Compliance
Information security incident management
ISO/IEC 17799の改訂
Monitoring system use
3rd party risks, access &
outsourcing
Capacity planning& system acceptance
Protection against malicious & mobile code
Back-ups
Vulnerability management
Operational procedures & responsibilities
Developing, testing and maintaining BC
plans
Incident procedures and
reporting
User access, network access, applications and
information access
Copyright©2004 J-ISMS UG 12
Control Objectives/Controls
ISO/IEC 17799new edition
ISO/IEC 17799old edition
9 old controls deleted
17 new controls added
118 controls
remaining
8 new controls objectives
5 control objective が他のobjectivesに再編成
Copyright©2004 J-ISMS UG 13
Control
NEW Control text
Implementation guidance
Other information
Control, some
implementation guidance and
other supporting text
OLD Control text 管理策の記述
Control Objectives を満たすための、より詳細な導入のための
ガイドライン
管理策の導入に関連した説明(管理策の導入時に考慮すべき事項についての説明)
(例:法律への適合性への考慮)
改訂版17799の構造“User friendly interface for control text”
Copyright©2004 J-ISMS UG 14
NEW Control の例
• Human resources– Before, during and after employment
• Information security incident handling– Reporting information security incidents and
weaknesses– Management of information security incidents
and improvements
Copyright©2004 J-ISMS UG 15
NEW Controlの例
• Third party services• Vulnerability management
– Covers patch management• Mobile code
Copyright©2004 J-ISMS UG 16
ISMS Specification
• SC27における新プロジェクトの立ち上げ(24743)
• BS 7799 Part 2をベースとした文書の作成• 次回国際会議にてsFinal CD 投票
Copyright©2004 J-ISMS UG 17
ISMS Metrics and measurements
• SC27 (24742)における新プロジェクトの立ち上げ• Measuring “the effectiveness and performance of
ISMS implementations”– Performance targets– What to measure– How to measure– When to measure
• 次回SC 27会合(2005年4月)において文書の審議
Copyright©2004 J-ISMS UG 18
M&M Example
Copyright©2004 J-ISMS UG 19
M&M Example
Copyright©2004 J-ISMS UG 20
M&M Example
Copyright©2004 J-ISMS UG 21
M&M Example
Copyright©2004 J-ISMS UG 22
Risk Assessment
• ISO/IEC TR 13335:1-5GMITS (Guideline for Management of IT Security) ITセキュリティ管理の指針
• MICTS(IT Security techniques- Management of Information and Communications Technology Security)– ISO/IEC 13335-1: Part1:Concepts and models for
managing and planning ICT Security の発行– Part2:Techniques for information security risk
management
Copyright©2004 J-ISMS UG 23
Future requirements
ISO/IEC 17799
GMITS/MICTS (ISO 13555)BS 7799 Part 2
ISO/IEC 18044 Information security incident management
IT Network security
TTP servicesISO Guides 62, EA 7/03
ISMS M&M
New information security standards
and guidelines
ISMS standard
Road MapISO/IEC JTC 1/SC27 WG1
Copyright©2004 J-ISMS UG 24
近未来
Road MapISO/IEC JTC 1/SC27 WG1
現在 将来