最近、セキュリティの勉強をしているのですが、世の中にはセキュリティガイドライン(セキュリティ基準、参照すべきセキュリティ文書)がたくさんあって簡単には覚えられないので、自分で列挙しながら調べることにしました。 ただし、ガイドラインそのものは基本的に読めていません。 なお、本記事は随時更新します。
ISO/IEC 27000シリーズ
ISMSとしても知られるマネジメントについての規格。
ISO/IEC 27001
組織の ISMS を認証するための要求事項
ISO/IEC 27002
情報セキュリティ管理策の実践のための規範 ISO/IEC 27001に対して具体的な内容となっていて、27001は要求事項であり、27002は実践の要領などが記載されている。
ISO/IEC 27017
ISO/IEC 27002 に基づくクラウドサービスのための情報セキュリティ管理策の実践の規範 クラウドサービスの提供者側、利用者側に対するセキュリティ基準。
NIST SP 800シリーズ
NIST(米国国立標準技術研究所)が公開している情報セキュリティの文書群。
NIST SP 800-18
連邦情報システムのためのセキュリティ計画作成ガイド
NIST SP 800-30
リスクアセスメントの実施の手引き 数少ないらしい?リスクアセスメントに関する文書。
NIST SP 800-34
ITシステムのための緊急時対応計画ガイド
NIST SP 800-37
連邦政府情報システムに対するリスクマネジメントフレームワーク適用ガイド: セキュリティライフサイクルによるアプローチ 同様の文書として、COSOの「Enterprise Risk management - Integrated Framework」というものがある。
NIST SP 800-53
連邦政府情報システムおよび連邦組織のためのセキュリティ管理策とプライバシー管理策
NIST SP 800-57
鍵管理における推奨事項
NIST SP 800-61
コンピュータインシデント対応ガイド
NIST SP 800-63
電子的認証に関するガイドライン 上位ポリシーとして、OMB M-04-04がある。
NIST SP 800-64
システム開発ライフサイクルにおけるセキュリティの考慮事項
NIST SP 800-73
個人識別情報の検証インタフェース
NIST SP 800-83
マルウェアによるインシデントの防止と対応のためのガイド
NIST SP 800-88
媒体のサニタイズに関するガイドライン
NIST SP 800-92
コンピュータセキュリティログ管理ガイド
NIST SP 800-112
Guide to Protecting the Confidentiality of. Personally Identifiable Information (PII).
NIST SP 800-162
属性ベースアクセス制御
NIST SP 800-171
非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
FIPSシリーズ
連邦政府関連の文書群(?)
FIPS 201-1
連邦職員および委託業者のアイデンティティの検証
リスクフレームワーク
- ISO/IEC 31000: 全般
- ISO/IEC 27005: 情報セキュリティ
- COSO 「Enterprise Risk management - Integrated Framework」
- ISACA RISK ITフレームワーク
- NIST SP 800-37 Risk management Framework:RMF
COBIT
IT管理に関するベストプラクティス集(フレームワーク)