情報セキュリティ関連規格の整理(前書き)
情報セキュリティ関連規格ありすぎ問題
例えばAWSは、情報セキュリティ関連についてどのような規格の認定を受けていたり、どんな規格に沿って対策を検討していたり、どんな国の法令に関連する規格に準拠しているのでしょうか?
AWSのページには、情報セキュリティ関連規格に関するページが存在しており沢山の規格が記載されています。
このように情報セキュリティ関連の規格(ガイドライン・フレームワーク)は多数存在しており、また同じ名前の規格でもタイプが違うなど非常に複雑です。ガイドラインの中には自社のセキュリティレベルを評価するような規格から遵守しなければ法令違反となるようなガイドラインまで多数存在しています。
この記事群では情報セキュリティ関連規格を整理していきます。当該記事群は2023年5月時点での情報で記載しており、可能な限り正確な記載を行いますが正式には各規格のオフィシャルサイト等でご確認ください。
情報セキュリティ関連規格の大枠の整理
情報セキュリティ関連の規格は数多く存在しますが、「認証関連の規格」、「成熟度評価関連の規格」および「法令関連の規格」に分類して理解するとわかりやすいです。以降の記事では、この各分類毎に具体的な規格を説明していきます。