情報セキュリティ、ITセキュリティに関する規格は近年急速に整備されてきた。その一つの方向性は、いわゆるISMS (Information Security Management System) すなわちISO/IEC 27000シリーズで規定されるマネジメントシステム規格のシリーズである。このシリーズは、次のような規格を含んでいる。
ISMSのシリーズ(いずれもInformation technology -- Security techniques –のタイトルが付く) |
ISMSの制定の前に、同様のセキュリティマネジメントを規定していた規格にGMITSといわれているシリーズがあったが、現在それらはISMS規格のシリーズに吸収されてきている。2010年現在では、GMITSの後継であるMICTS(ISO/IEC 13335:「情報技術−セキュリティ技術−情報通信技術セキュリティマネジメント−第1部:情報通信技術セキュリティマネジメントの概念及びモデル」)規格の第1部がJIS Q 13335-1 としてよく参照されている。
ISMSの認証制度に関する情報は、JIPDECのホームページ、JABのホームページなどを参照するとよい。
このISMSと異なり、製品または実装・運用システムのセキュリティを評価するための規格がCommon Criteriaと呼ばれるものであり、正式の規格番号はISO/IEC 15408(JIS X 5070「セキュリティ技術−情報技術セキュリティの評価基準」)である。Common Criteria とその認証の制度については、JISECホームページを参照。
Common Criteriaの系統で、暗号モジュールについての評価は、特定の形式で行うことが可能であり、その仕組みは、ISO/IEC 19790 Security requirements for cryptographic modules (JIS X19790「セキュリティ技術−暗号モジュールのセキュリティ要求事項」)で定められている。この暗号モジュールに関する認証制度は「暗号モジュール試験及び認証制度」(JCMVP®)と呼ばれている。
暗号モジュールと同様にPC等のセキュリティ確保のためのチップであるTPMの規格は次のものである。ISO/IEC 11889 Trusted Platform Module
広い意味でのセキュリティ関連の規格で、必ずしもJTC1/SC27の取り扱い範囲でないもののうち代表的なものとしてバイオメトリクス関連の規格があるが、次の規格はSC27が決めたものである。ISO/IEC 19792:2009 Information technology -- Security techniques -- Security evaluation of biometrics
セキュリティに関して、国内での暗号技術標準の運用の観点からは、日本の電子政府向け暗号規格を整備するものとして作成された、「電子政府暗号標準」およびそれを技術的にバックアップしている団体CRYPTRECの基準も見逃せない。
一方、セキュリティを企業内で確実に実施するための仕組みとして、セキュリティガバナンスという考え方も浸透してきた。セキュリティガバナンスの国際規格の動きもあるが、国内では経済産業省のもとで、セキュリティガバナンス研究会等が一連のガイドラインを公表してきている。