内閣官房情報セキュリティセンター(NISC)から公表され、パブリックコメントを募集している「セキュアジャパン2006(案)」を斜め読みしてみました。
「セキュア・ジャパン2006」(案)に関する意見の募集
これは、先週末から情報セキュリティ関係のBlogで取り上げられています。取り急ぎ斜め読みですが、気になる点を幾つか・・・
情報セキュリティ監査
案の中で情報セキュリティ監査の推進について取り上げられています。
政府機関の外部委託先の情報セキュリティ水準を確保する手段として、情報セキュリティ監査制度の活用を図るとなっています。内閣官房及び全政府機関が対象です。
地方公共団体の情報セキュリティ対策の有効性を評価し改善するため、情報セキュリティ監査の実施を推進するとなっています。総務省が主管となるようです。
民間企業向けの情報セキュリティ監査制度の普及促進施策として、情報セキュリティ水準を適正に評価する環境整備ため、質の高い監査サービスを受けられる基準の検討を行うこととなっています。
情報セキュリティ監査制度の促進が明記され、強調されているのはいいのですが、また省庁縦割りの弊害で、制度が乱立しなければいいのすが、気になるところです。確かに、民間企業や政府機関、地方自治体など、その組織の役割や特性もあり、一律の基準の策定が難しいのは理解しています。しかし、基本的な概念や、監査の仕組み、必要な制度の統一性などは確保して欲しいものです。
情報セキュリティ関連資格
政府機関の人材育成に関連し、政府機関の情報セキュリティ対策業務の要員は、全員が情報セキュリティ関係の資格を有することとなっています。これは、公務員の採用試験に情報セキュリティの職分でも追加するでしょか。それとも、情報処理技術者試験の合格を義務付けするのでしょうか。義務付けられる資格に内容など明確なってはいません。ここが気になるところです。
情報セキュリティ関する資格制度の体系化ということも記述されています。「情報処理技術者試験をはじめとする情報セキュリティに関する資格制度の体系化について、その基本方針及び具体策を2006年中に示す。」となっています。
現在の情報処理技術者試験を中心にするように読み取れますが、既存のCISSPやCISMと
いった国外資格、経産省が進めている情報セキュリティ監査人制度などとの整合性
は、どうなるのでしょうか。上記の政府要員に取得が義務つけられる資格とも密接に関係するのでしょうね。ホルダーとしては、気になるところです。
この話題は、冒頭にも触れたように、情報セキュリティ関係の色々なBlogで先週末から取り上げられています。私は、週明けの今日気がつきました。慌てて斜め読みして、自分Blogで記事にしたわけです。4月22日に買い換えた自家用車の納車があり、何せ9年ぶりの新車購入で、土日は浮かれていて、この話題に全然気がつきませんでした。
取り敢えず斜め読みした結果を記事にしましたが、「セキュアジャパン2006(案)」、暇を見付けて読み込んでから、引き続き取り上げていきたいと思います。
皆さんの感想やご意見などもお寄せ下さい。
0 件のコメント:
コメントを投稿