ISO/IECシリーズがよくわからない

ISO/IECシリーズについて

ISO/IECの17799 , 15408, TR13335の違いがどうも曖昧でよくわからないので自分なりにまとめてみることにする．
自分の言葉でまとめれば少しは頭に入る気が

[ISO/IEC 17799]
ISMSの実施基準
実施基準であって認証基準ではない
認証基準はBS7799のPart2
実践のためのガイド
電子媒体に限らずあらゆる情報を対象としている（広い）
英国のBS7799Part1
国内の Jis X 5080
日本語ではISMS適合性評価制度

[ISO/IEC TR13335]
リスクアセスメント，リスクマネジメントの手順として利用されている
GMITS，GUIDELINE FOR MANAGEMENT OF IT SECURITY
セーフガードがキー
基本的に電子媒体を対象としている（狭い）
日本語では特になし
TR-- Technical Report

[ISO/IEC 15408]
製品とシステムを対象としたもの
保証レベルがある(EAL1-7)EALとはなんの略？
TOE(TARGET OF EVALUATION)
実は一番複雑かも
設計要件や実装要件
国内のJis X 5070
日本語ではITセキュリティ評価基準

[ISMS適合性評価制度]が17799で，5080
[ITセキュリティ評価基準]が15408で，5070

---

明日の朝もう一度ひととおり読んでみるか．

---

[不正アクセス対策基準]
実行すべき対策を取りまとめたもの
ユーザIDやパスワードの管理
事業者や管理者などターゲットは４者
情報管理，コンピュータ管理と監査
情報管理というのは，暗号化とかアクセス権限とか

[情報システム安全対策基準]
地震や火災に備えよう
二重化とか，適切な設備を持とう
適切な運用をするようにしよう

[コンピュータウイルス対策基準]
自己伝染，潜伏，発病
５者に対するガイドラインを呈す（事業者，管理者，ユーザ，など）

[ソフトウェア管理ガイドライン]
違法複製
管理責任者
管理規則
監査
使用許諾契約
管理台帳
使用条件In使用許諾契約

---

今日はこれでいいや．．