そもそもガイドラインとは?
・各論に入る前に、そもそもガイドラインとは何か?
ガイドラインは自主的に守るべきルール
・ルールの代表は法令(法律、政令、省令、条例)です。これは絶対に守らなければいけないルールです。拘束力が非常に強く、これに従わない場合には何らかのペナルティを受けます。
・一方で、ガイドラインは、自主的に取り組むことが推奨されるルールです。
・法令程の拘束力はなく、ルールに従わなかったとしてもペナルティを受けることはありません。
守ると信頼を得られる
・ガイドラインに従った運用をしていることが認証されると、JIS●●●●(●は数字)やISO/IFC●●●●といった規格(お墨付き)を得られます。(これを適合性認証制度といいます。)
適合性評価を受けるメリットは?
・日常生活の中で意識することは殆どないかもしれませんが、
・ガイドラインは自主的に取り組むルール
・守らなくてもペナルティはないが、
ガイドラインの学習方法
・次にガイドラインの学習方法を解説していきます。
①ガイドラインの大枠を押さえる
・一次試験が択一式の試験であることを考慮すると、詳細を理解していなくても、「何の」ガイドラインなのか大枠を掴めていれば対応可能です。
・セキュリティに関するものなのか、保守に関するものなのか等、大枠で理解していきましょう。
②国内規格、国際規格との関連を押さえる
・どのガイドラインがどの規格とリンクしているかを押さえることが重要です。
③略称でなく、正式名称で覚える
・ガイドラインは正式名称で覚えるようにしましょう。
・例えば、略称だとISMS、ITILというように何のことか分かりませんが、正式名称で覚えればISMS(Information Security Management System)はSecurity=セキュリティのガイドライン、ITIL(Information Technology Infrastructure Library)はLibrary=事例集というように、おおよその見当が付けられます。
押さえるべきガイドライン
・前置きが長くなりましたがそれぞれのガイドラインを見ていきましょう。
①ISMS(Information Security Management System)
一言で言うと(大枠)
・ISMSは一言で言うと情報セキュリティ(Information Security)を管理する仕組み(Management System)のことです。
情報システムでは①機密性(漏洩しないように)、②完全性(改ざん、削除されないように)、③可用性(必要な特に使えるように)の3つの要素が重要であると定義されます。
3つの要素はそれぞれが独立しているわけではなく、バランスが重要です。
このバランスを維持する体制(Management System)を整備することの重要性が説かれています。
ISMSの規格
・ISMSの国内規格はJISQ 27001:2014です。
・ISMSの国際規格はISO/IEC 27001:2014です。
②ITIL(Information Technology Infrastructure Library)
一言で言うと(大枠)
・ITILは一言で言うと成功体験本(Library)です。(ガイドラインではありません。)
・ITサービスマネジメント(ITの運用保守)の成功事例やノウハウを集めて書籍化したものです。
・3つのP(①Process(過程)、②People(人)、③Products(成果物))がバランスよく活用されることの重要性が説かれています。
ITILの規格
・ITILの国際規格としてBS 15000(英国規格)、ISO 20000があります。
・ISO 20000はITSMS(IT Service Management System)とも呼ばれます。
・ITILの国内規格はJISQ 20000-1、2です。
ITILは20,000と覚えましょう。
③共通フレーム2013
一言で言うと(大枠)
・共通フレーム2013は一言で言うとシステム開発に関するガイドラインです。
システム開発のライフサイクル(構想→開発→運用→保守→廃棄)における①共通言語と②業務の分担を定義したのが共通フレームです。
共通フレームの規格
・共通フレームの規格はありません。
④SLA(Service Level Agreement )
・SLAはガイドラインではありません。
・SLAを一言で言うと業務仕様書です。
・SLAを正しく締結するためのガイドラインとして、①情報システムに係る政府調達へのSLA導入ガイドライン、②SaaS向けSLA導入ガイドライン等があります。
まとめると以下の通りです。
いかがでしょうか?この内容であれば理解できそうではありませんか?
名称 | 規格 | ざっくり言うと |
①ISMS | JISQ 27001:2014 ISO/IEC 27001:2014 | 情報セキュリティを管理する仕組み |
②ITIL | ISO 20000(ITSMS) JISQ 200000-1、2 | 成功体験本 |
③共通フレーム2013 | 無し | システム開発のガイドライン |
④SLA | 無し | 業務仕様書 |
以上です!
試験勉強頑張ってくださいね!