イギリスは、この基準を国際標準として採用するように働きかけたが、アメリカ、日本などの賛同を得ることができずに断念した経緯がある。その後、平成10年には、そのパート2(Information Security Management Part2, Specification for information security management system BSI1998 BS7799-2)を作成し発表した。BS7799は、セキュリティ・マネージメントの認証を骨子としており、自国の基準としてBS7799を取り入れて第三者機関による認証を行っているオランダなどの国も存在する。そのほか、南アフリカ、オーストラリア、ニュージーランドがすでにBS7799を使用している。更にノルウェー、デンマーク、スウェーデン、ポーランド、ハンガリーなどが規格として取り入れを検討しており、ISO化には至っていないものの多くの国に導入実績を積みつつある。
なお、イギリスの規格には、4〜5年の間に見直しが行われることになっていることから、BS7799 Partlは、見直しの時期になっている。同様の運用に関するセキュリティ基準として、GMITS(ISO/IEC TR 13335)があるが、こちらもテクニカルレポートとしては認められたが、国際標準にはなっていない。
5 セキュリティ評価基準の今後の展開
コモンクライテリアがISO/IEC15408として国際標準になったこともあって、今後セキュリティ製品の評価は促進されると考えられる。
今後、地方公共団体でも独自のプロテクション・プロファイルを作成することになれば、セキュリティ製品を選定する際の明確な指標となりうる。
一方、組織のセキュリティ運用体系基準の国際標準化には、もう少し時間がかかりそうである。ただし、このような基準ができたとしても、組織にはその組織特有のセキュリティリスクや守るべき対象があるので、それらを考慮し、十分な検討を重ねたうえで、セキュリティ運用体系を築いていく必要がある。
