情報セキュリティ格付け制度
昨日のSANS FVの基調講演で、アイ・エス・レーティングさんが情報セキュリティ格付け制度についての話をされていました。改めて調べてみると、これが意外に情報が少ない。
アイ・エス・レーティングは、以下の 3つのサービスを提供しています。
- 自己診断カルテ
- インディケーション評価
- 格付け審査
このうち最もレベルが高いのが格付け審査です。そして格付け審査では以下の 3つの内容が審査されます。
- マネジメント成熟度
- セキュリティ対策強度
- コンプライアンス
マネジメント成熟度の内容については、ISMSの審査などと多分大体同じで、成熟度評価はCMMIのモデルを参考にしているようです。あとの 2つはよくわかりません。特にセキュリティ対策強度の評価がこの格付け制度の肝になっているようなのですが、その詳細についての情報があまりないようです。どこかに公開されているのでしょうか??