【1分でわかる】情報セキュリティ管理基準(平成28年度版)

経済産業省の公開している「情報セキュリティ管理基準」を1分間で説明します。
http://www.meti.go.jp/policy/netsecurity/downloadfiles/IS_Management_Standard_H28.pdf

【趣旨】
・経済産業省が「組織が情報セキュリティマネジメント体制を構築し、整備・運用するための規範」として策定。

【位置づけ】
・マネジメントサイクル構築の出発点から具体的な管理策に至るまで、包括的な適用範囲を有する基準。

【構成】
・「マネジメント基準」と「管理策基準」から構成される。

・「マネジメント基準」では、情報セキュリティマネジメントの計画、実行、点検、処置に必要な実施事項を定めている。
・原則、全て実施すべき事項である。
・内容には以下のようなものが含まれている。
  組織の役割と責任、方針の確立、リスクアセスメント、セキュリティマネジメントの運用とレビュー、など

・「管理策基準」は、情報セキュリティマネジメントの確立段階において管理策を選択する際の選択肢を与えるもの。
・それぞれの事項は管理目的と管理策で構成される。
・内容には以下のようなものが含まれている。
  組織、人、アクセス制御、暗号、物理的及び環境的セキュリティ、運用、通信、システム、供給者、BCP、法令順守など

【辛口批評】
原典が悪いのか、日本語訳が悪いのか、とにかく分かりにくい。
セキュリティ入門者が読んだら挫折するでしょう。