スポンサードリンク
JIS X 5080(ISO/IEC 17799)とは
JIS X 5080は、情報セキュリティマネジメントに関する国内規格で、ISO/IEC 17799がベースになっている。ISMS(Information Security Management System:情報セキュリティマネジメントシステム)の基盤となる規格である。JIS X 5080における情報セキュリティとは以下の3つを維持することである。
- 完全性
- 機密性
- 可用性
JIS X 0580は、品質マネジメントシステムに関する規格であるISO9000シリーズや環境を守るための国際規格であるISO14000シリーズのような認定規格ではない。情報セキュリティー管理における道しるべであるということを覚えておいて欲しい。
完全性
完全性とは、情報および処理方法の正確さおよび完全である状態を安全に保護することである。
機密性
情報に対してアクセスすることが許可されたものだけがアクセスできることの保証のことである。
可用性
許可されたユーザーが、必要なときに情報および関連資産を利用できることを保証することである。
JIS X 5080ではこのほかにリスクアセスメントとリスクマネジメントを以下のように定義している。
リスクアセスメント
情報、情報処理施設と設備に対して以下の項目が起こる可能性の評価のことである。
- 脅威
- 影響
- 脆弱(ぜいじゃく)性
リスクマネジメント
情報システムに対して影響を与える可能性があるセキュリティリスクを明確にする。そして、セキュリティリスクを制御や抑制、除去をするプロセスのことである。
Point
JIS X 5080は情報をどうやって保護するかという規格で、以下の3つを維持することである。
- 完全性
- 機密性
- 可用性
この3つの用語の意味を理解することがポイントである。
【例題】
JIS X 5080 (ISO/IEC 17799)の情報セキユリティにおける可用性の定義はどれか。
初級シスアド 平成18年度 春期 問52
- ア 情報及び処理方法が,正確であること及び完全であることを確実にする。
- イ 情報システムの利用者が正しい利用者であることを確実にする。
- ウ 第三者に情報が漏えいしないことを確実にする。
- エ 利用者が必要なときに情報資産を利用できることを確実にする。
【解説】
解答:エ
JIS X 5080における完全性、機密性と可用性の用語を理解していることがポイントである。またこれらの用語に加えて、リスクアセスメントとリスクマネジメントの意味も理解しておきたい。
- ア 完全性に関する記述である。
- イ 機密性に関する記述である。
- ウ 機密性に関する記述である。
スポンサードリンク
