情報システム安全対策基準、設置基準、技術基準、運用基準
経済産業省は「情報システム安全対策基準」(http://www.meti.go.jp/policy/netsecurity/downloadfiles/esecu03j.pdf)を策定しています。
その内容は、
「情報システムの機密性、保全性及び可用性を確保することを目的として、(←CIA)
自然災害、機器の障害、故意・過失等のリスクを(←脅威の区分)
未然に防止し、また、発生したときの影響の最小化及び回復の迅速化を図るため、(←対処)
情報システムの利用者が実施する対策項目を列挙」
したものです。
本基準は、設置基準、技術基準及び運用基準から構成されています。
情報システム安全対策基準では、情報システムを、重要度により3区分しています。
A 人命、他人の財産、プライバシー等社会に影響を与える情報システム
B 企業への影響の大きい情報システム
C 企業への影響の小さい情報システム
そして、個々の個別対策項目について、次のように示しています。
☆ Aに限定して必要な対策
○ A、Bに必要な対策
◎ A、B、C全てに必要な対策
- 適用除外
たとえば、次のような記述になっています。
設置基準
技術基準