情報セキュリティ・マネジメントシステム
ISMS 【 Information Security Management System 】
 
 

目 次

規格

情報技術−セキュリティ技術

ISMS

  • 一般財団法人日本情報経済社会推進協会(JIPDEC)
  • 情報セキュリティマネジメントシステム(ISMS)とは
    • 近年、IT化の進展に伴い、不正アクセスやコンピュータウイルスによる被害、及び内部不正者や外注業者による情報漏えい事件など、情報資産を脅かす要因が著しく増加しており、これらの脅威に対して適切にリスクアセスメントを実施して、企業における総合的な情報セキュリティを確保するためには、ISMSの構築・運用が必須事項となっている。
    • ISMSとは、個別の問題毎の技術対策の他に、組織のマネジメントとして、自らのリスクアセスメントにより必要なセキュリティレベルを決め、プランを持ち、資源を配分して、システムを運用することである。
    • ISMSが達成すべきことは、リスクマネジメントプロセスを適用することによって情報の機密性、完全性及び可用性をバランス良く維持・改善し、リスクを適切に管理しているという信頼を利害関係者に与えることにある。そのためには、ISMSを、組織のプロセス及びマネジメント構造全体の一部とし、かつ、その中に組み込むことが重要である。

ISMS用語(JIS Q 27000:2014)

情報セキュリティ

  1. 情報セキュリティ
    • 情報の機密性完全性及び可用性を維持すること。{2.33(information security)}
    • さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。
  2. 機密性
    • 認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また開示しない特性。{2.12(confidentiality)}
  3. 完全性
    • 正確さ及び完全さの特性。{2.40(integrity)}
  4. 可用性
    • 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。{2.9(availability)}
  5. エンティティ
    • “実体”、“主体”。情報セキュリティでは、情報を使用する組織及び人、設備、ソフトウェア及び物理的媒体などを意味する。
  6. プロセス
    • インプットをアウトプットに変換する、相互に関連する又は相互に作用する一連の活動。{2.61(process)}
  7. 真正性
    • エンティティは、それが主張するとおりのものであるという特性。{2.8(authenticity)}
  8. 否認防止
    • 主張された事象又は処置の発生、及びそれを引き起こしたエンティティを証明する能力。{2.54(non-repudiation)}
  9. 信頼性
    • 意図する行動と結果とが一貫しているという特性。{2.62(reliability)}

リスクアセスメント

  1. リスクアセスメント
    • リスク特定、リスク分析及びリスク評価のプロセス全体。{2.71(risk assessment)}
  2. リスク
    • 目的に対する不確かさの影響。{2.68(risk)}
      • 注記 1:影響とは、期待されていることから、好ましい方向又は好ましくない方向にかい(乖)離することをいう。
      • 注記 2:不確かさとは、事象、その結果又はその起こりやすさに関する、情報、理解又は知識が、たとえ部分的にでも欠落している状態をいう。
      • 注記 3:リスクは、起こり得る事象結果又はこれらの組合せについて述べることによって、その特徴を記述することが多い。
      • 注記 4:リスクは、ある事象(周辺状況の変化を含む。)の結果とその発生の起こりやすさ(2.45)との組合せとして表現されることが多い。
      • 注記 5:ISMS の文脈においては、情報セキュリティリスクは、情報セキュリティ目的に対する不確かさの影響として表現することがある。
      • 注記 6:情報セキュリティリスクは、脅威が情報資産のぜい弱性又は情報資産グループのぜい弱性に付け込み、その結果、組織に損害を与える可能性に伴って生じる。
  3. 事象
    • ある一連の周辺状況の出現又は変化。{2.25(event)}
      • 注記 1:事象は、発生が一度以上であることがあり、幾つかの原因をもつことがある。
      • 注記 2:事象は、何かが起こらないことを含むことがある。
      • 注記 3:事象は、“事態(incident)”又は“事故(accident)”と呼ばれることがある。なお、“事態”は、“インシデント”とも表現される。
  4. 目的
    • 達成する結果。{2.56(objective)}
      • 注記 1:目的は、戦略的、戦術的又は運用的であり得る。
      • 注記 2:目的は、様々な領域[例えば、財務、安全衛生、環境の到達点(goal)]に関連し得るものであり、様々な階層[例えば、戦略的レベル、組織全体、プロジェクト単位、製品ごと、プロセスごと]で適用できる。
      • 注記 3:目的は、例えば、意図する成果、目的(purpose)、運用基準など、別の形で表現することもできる。また、情報セキュリティ目的という表現の仕方もある。又は、同じような意味をもつ別の言葉[例:狙い(aim)、到達点(goal)、目標(target)]で表すこともできる。
      • 注記 4 ISMS の場合、組織は、特定の結果を達成するため、情報セキュリティ方針と整合のとれた情報セキュリティ目的を設定する。
  5. 結果
    • 目的に影響を与える事象の結末(outcome)。{2.14(consequence)}
      • 注記 1:一つの事象が、様々な結果につながることがある。
      • 注記 2:結果は、確かなことも不確かなこともある。情報セキュリティの文脈において、結果は、通常、好ましくないものである。
      • 注記 3:結果は、定性的にも定量的にも表現されることがある。
      • 注記 4:初期の結果が、連鎖によって、段階的に増大することがある。
  6. 起こりやすさ
    • 何かが起こる可能性。{2.45(likelihood)}
  7. 脅威
    • システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。{2.83(threat)}
  8. ぜい弱性
    • 一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点。{2.89(vulnerability)}
  9. 管理策
    • リスクを修正(modifying)する対策。{2.16(control)}
      • 注記 1:管理策には、リスクを修正するためのあらゆるプロセス、方針、仕掛け、実務及びその他の処置を含む。
      • 注記 2:管理策が、常に意図又は想定した修正効果を発揮するとは限らない。
  10. リスク特定
    • リスクを発見、認識及び記述するプロセス。{2.75(risk identification)}
      • 注記 1:リスク特定には、リスク源、事象、それらの原因及び起こり得る結果の特定が含まれる。
      • 注記 2:リスク特定には、過去のデータ、理論的分析、情報に基づいた意見、専門家の意見及びステークホルダのニーズを含むことがある。
  11. リスク分析
    • リスクの特質を理解し、リスクレベルを決定するプロセス。{2.70(risk analysis)}
      • 注記 1:リスク分析は、リスク評価及びリスク対応に関する意思決定の基礎を提供する。
      • 注記 2:リスク分析は、リスクの算定を含む。
  12. リスク評価
    • リスク及び/又はその大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス。{2.74(risk evaluation)}
      • 注記:リスク評価は、リスク対応に関する意思決定を手助けする。
  13. リスクレベル
    • 結果(2.14)とその起こりやすさ(2.45)の組合せとして表現される、リスクの大きさ。{2.44(level of risk)}
  14. リスク評価
    • リスク及び/又はその大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス。{2.74(risk evaluation)}
      • 注記:リスク評価は、リスク対応に関する意思決定を手助けする。
  15. リスク対応
    • リスクを修正するプロセス。{2.79(risk treatment)}
      • 注記 1:リスク対応事項
      • −リスクを生じさせる活動を、開始又は継続しないと決定することによって、リスクを回避すること。−ある機会を追求するために、リスクをとる又は増加させること。−リスク源を除去すること。−起こりやすさを変えること。−結果を変えること。− 一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。−情報に基づいた選択によって、リスクを保有すること。
      • 注記 2:好ましくない結果に対処するリスク対応は、“リスク軽減”、“リスク排除”、“リスク予防”及び“リスク低減”と呼ばれることがある。
      • 注記 3:リスク対応が、新たなリスクを生み出したり、又は既存のリスクを修正したりすることがある。
  16. リスク基準
    • リスクの重大性を評価するための目安とする条件。{2.73(risk criteria)}
      • 注記 1:リスク基準は、組織の目的、外部状況及び内部状況に基づいたものである。
      • 注記 2:リスク基準は、規格、法律、方針及びその他の要求事項から導き出されることがある。

リスクマネジメント



トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-04-02 (火) 10:01:24 (47d)