業界団体ISSA、セキュリティの新ガイドライン「GAISP」を提案

　米Sun Microsystemsや米Symantecなどが参加する業界団体ISSA（Information Systems Security Association）は、現在開催中のRSA Conference 2003で、セキュリティの新たなガイドライン、Generally Accepted Information Security Principles（GAISP）を発表した。米国の一般会計原則、GAAP（Generally Accepted Accounting Principle）の情報セキュリティ版ともいえるもので、IT管理者はこれを利用して自社システムの安全性を表すことができるという。

　セキュリティのガイドラインとしては、すでに国際標準のIS 17799があるが、十分に規定するものとはいえなかった。GAISPでは、データの価値を評価してリスクを計算する量的リスク指標などが盛り込まれる。また、これまでのISO標準も継承しているため、GAISPに準拠していれば、IS 17799準拠も保証される。同ガイドラインの策定は今年末には完了する見込みで、今後も四半期あるいは半年に一度改訂される。ISSAはGAISPの国際標準化を目指しており、今月末に欧州でも発表する。