情報セキュリティマネジメントシステム−用語
 
 
 

目 次

Links


  • 日本工業規格 JIS Q 27000:2014
    • 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
    • JIS_Q_27000:2014
  • 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
  • Information technology-Security techniques-Information security management systems-Overview and vocabulary

2 用語及び定義

2.1 アクセス制御(access control) *1

2.2 分析モデル(analytical model) *2

2.3 攻撃(attack) *3

2.4 属性(attribute) *4

2.5 監査(audit) *5

2.6 監査範囲(audit scope) *6

2.7 認証(authentication) *7

エンティティは、“実体”、“主体”などともいう。情報セキュリティの文脈においては、情報を使用する組織及び人、情報を扱う設備、ソフトウェア及び物理的媒体などを意味する。

2.8 真正性(authenticity) *8

2.9 可用性(availability) *9

2.10 基本測定量(base measure) *10

2.11 力量(competence) *11

2.12 機密性(confidentiality) *12

2.13 適合(conformity) *13

2.14 結果(consequence) *14

2.15 継続的改善(continual improvement) *15

2.16 管理策(control) *16

2.17 管理目的(control objective) *17

2.18 修正(correction) *18

2.19 是正処置(corrective action) *19

2.20 データ(data) *20

2.21 判断基準(decision criteria) *21

2.22 導出測定量(derived measure) *22

2.23 文書化した情報(documented information) *23

関連するプロセス(2.61)を含むマネジメントシステム(2.46)

組織の運用のために作成された情報(文書類)

達成された結果の証拠(記録)

2.24 有効性(effectiveness) *24

2.25 事象(event) *25

2.26 業務執行幹部(executive management) *26

2.27 外部状況(external context) *27

国際、国内、地方又は近隣地域を問わず、文化、社会、政治、法律、規制、金融、技術、経済、自然及び競争の環境

組織(2.57)の目的(2.56)に影響を与える主要な原動力及び傾向

外部ステークホルダ(2.82)との関係並びに外部ステークホルダの認知及び価値観

2.28 情報セキュリティガバナンス(governance of information security) *28

2.29 経営陣(governing body) *29

2.30 指標(indicator) *30

2.31 情報ニーズ(information need) *31

2.32 情報処理施設、情報処理設備(information processing facilities) *32

2.33 情報セキュリティ(information security) *33

さらに、真正性(2.8)、責任追跡性、否認防止(2.54)、信頼性(2.62)などの特性を維持することを含めることもある。

2.34 情報セキュリティ継続(information security continuity) *34

2.35 情報セキュリティ事象(information security event) *35

2.36 情報セキュリティインシデント(information security incident) *36

2.37 情報セキュリティインシデント管理(information security incident management) *37

2.38 情報共有コミュニティ(information sharing community) *38

2.39 情報システム(information system) *39

2.40 完全性(integrity) *40

2.41 利害関係者(interested party) *41

2.42 内部状況(internal context) *42

統治、組織体制、役割及びアカウンタビリティ

方針、目的及びこれらを達成するために策定された戦略

資源及び知識としてみた場合の能力(例えば、資本、時間、人員、プロセス、システム、技術)

情報システム、情報の流れ及び意思決定プロセス(公式及び非公式の両方を含む。)

内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観

組織の文化

組織が採択した規格、指針及びモデル

契約関係の形態及び範囲

2.43 ISMS *43

2.44 リスクレベル(level of risk) *44

2.45 起こりやすさ(likelihood) *45

2.46 マネジメントシステム(management system) *46

2.47 測定量(measure) *47

2.48 測定(measurement) *48

2.49 測定の関数(measurement function) *49

2.50 測定方法(measurement method) *50

主観的:人間の判断を含んだ定量化

客観的:数値的な規則に基づいた定量化

2.51 測定結果(measurement results) *51

2.52 監視(monitoring) *52

2.53 不適合(nonconformity) *53

2.54 否認防止(non-repudiation) *54

2.55 対象物(object) *55

2.56 目的(objective) *56

2.57 組織(organization) *57

2.58 外部委託する(outsource) *58

2.59 パフォーマンス(performance) *59

2.60 方針(policy) *60

2.61 プロセス(process) *61

2.62 信頼性(reliability) *62

2.63 要求事項(requirement) *63

2.64 残留リスク(residual risk) *64

2.65 レビュー(review) *65

2.66 レビュー対象物(review object) *66

2.67 レビュー目的(review objective) *67

2.68 リスク(risk) *68

2.69 リスク受容(risk acceptance) *69

2.70 リスク分析(risk analysis) *70

2.71 リスクアセスメント(risk assessment) *71

2.72 リスクコミュニケーション及び協議(risk communication and consultation) *72

2.73 リスク基準(risk criteria) *73

2.74 リスク評価(risk evaluation) *74

2.75 リスク特定(risk identification) *75

2.76 リスクマネジメント(risk management) *76

2.77 リスクマネジメントプロセス(risk management process) *77

2.78 リスク所有者(risk owner) *78

2.79 リスク対応(risk treatment) *79

リスクを生じさせる活動を、開始又は継続しないと決定することによって、リスクを回避すること。

ある機会を追求するために、リスクをとる又は増加させること。

リスク源を除去すること。

起こりやすさを変えること。

結果を変えること。

一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。

情報に基づいた選択によって、リスクを保有すること。

好ましくない結果に対処するリスク対応は、“リスク軽減”、“リスク排除”、“リスク予防”及び“リスク低減”と呼ばれることがある。

リスク対応が、新たなリスクを生み出したり、又は既存のリスクを修正したりすることがある。

2.80 尺度(scale) *80

2.81 セキュリティ実施標準(security implementation standard) *81

2.82 ステークホルダ(stakeholder) *82

2.83 脅威(threat) *83

2.84 トップマネジメント(top management) *84

2.85 信頼できる情報コミュニケーションエンティティ(trusted information communication entity) *85

2.86 測定の単位(unit of measurement) *86

2.87 妥当性確認(validation) *87

2.88 検証(verification) *88

2.89 ぜい弱性(vulnerability) *89



*1 資産へのアクセスが、事業上及びセキュリティの要求事項に基づいて認可及び制限されることを確実にする手段。
*2 一つ以上の基本測定量(2.10)及び/又は導出測定量(2.22)をそれに関連する判断基準と結合するアルゴリズム又は計算。
*3 資産の破壊、暴露、改ざん、無効化、盗用、又は認可されていないアクセス若しくは使用の試み。
*4 人手又は自動的な手段によって、定量的又は定性的に識別できる対象物(2.55)の特性又は特徴。
*5 監査基準が満たされている程度を判定するために、監査証拠を収集し、それを客観的に評価するための、体系的で、独立し、文書化したプロセス(2.61)。
*6 監査(2.5)の及ぶ領域及び境界。
*7 エンティティの主張する特性が正しいという保証の提供。
*8 エンティティは、それが主張するとおりのものであるという特性。
*9 認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。
*10 単一の属性(2.4)とそれを定量化するための方法とで定義した測定量(2.47)。
*11 意図した結果を達成するために、知識及び技能を適用する能力。
*12 認可されていない個人、エンティティ又はプロセス(2.61)に対して、情報を使用させず、また、開示しない特性。
*13 要求事項(2.63)を満たしていること。
*14 目的(2.56)に影響を与える事象(2.25)の結末(outcome)。
*15 パフォーマンス(2.59)を向上するために繰り返し行われる活動。
*16 リスク(2.68)を修正(modifying)する対策。
*17 管理策(2.16)を実施した結果として、達成することを求められる事項を記載したもの。
*18 検出された不適合(2.53)を除去するための処置。
*19 不適合(2.53)の原因を除去し、再発を防止するための処置。
*20 基本測定量(2.10)、導出測定量(2.22)及び/又は指標(2.30)に割り当てられた値の集合。
*21 アクション若しくは追加調査の必要性を決めるため又は与えられた結果の信頼度のレベルを記述するために使う、しきい(閾)値、目標又はパターン。
*22 複数の基本測定量(2.10)の値の関数として定義した測定量(2.47)。
*23 組織(2.57)が管理し、維持するよう要求されている情報、及びそれが含まれている媒体。
*24 計画した活動を実行し、計画した結果を達成した程度。
*25 ある一連の周辺状況の出現又は変化。
*26 組織(2.57)の目的を達成するための戦略及び方針を実施する責任を経営陣(2.29)から委ねられた個人又は人々の集団。
*27 組織が自らの目的を達成しようとする場合の外部環境。
*28 組織(2.57)の情報セキュリティ活動を指導し、管理するシステム。
*29 組織(2.57)のパフォーマンス(2.59)及び適合性について説明責任を負う個人又はグループ。
*30 定義された情報ニーズ(2.31)に関して分析モデル(2.2)から導出した、特定の属性(2.4)の見積り又は評価を示す測定量(2.47)。
*31 目的、目標、リスク及び問題点を管理するために必要となる見解。
*32 あらゆる情報処理のシステム、サービス若しくは基盤、又はこれらを収納する物理的場所。
*33 情報の機密性(2.12)、完全性(2.40)及び可用性(2.9)を維持すること。
*34 継続した情報セキュリティ(2.33)の運用を確実にするためのプロセス(2.61)及び手順。
*35 情報セキュリティ方針への違反若しくは管理策の不具合の可能性、又はセキュリティに関係し得る未知の状況を示す、システム、サービス又はネットワークの状態に関連する事象(2.25)。
*36 望まない単独若しくは一連の情報セキュリティ事象(2.35)、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティ(2.33)を脅かす確率が高いもの。
*37 情報セキュリティインシデント(2.36)を検出し、報告し、評価し、応対し、対処し、更にそこから学習するためのプロセス(2.61)。
*38 情報を共有することに合意した組織のグループ。
*39 アプリケーション、サービス、IT 資産、及び情報を取り扱う他の構成要素。
*40 正確さ及び完全さの特性。
*41 ある決定事項若しくは活動に影響を与え得るか、その影響を受け得るか、又はその影響を受けると認識している、個人又は組織(2.57)。
*42 組織が自らの目的を達成しようとする場合の内部環境。
*43 プロジェクト(ISMS project)ISMS を実施するために組織(2.57)が取り組む構造化された活動。
*44 結果(2.14)とその起こりやすさ(2.45)の組合せとして表現される、リスク(2.68)の大きさ。
*45 何かが起こる可能性。
*46 方針(2.60)、目的(2.56)及びその目的を達成するためのプロセス(2.61)を確立するための、相互に関連する又は相互に作用する、組織(2.57)の一連の要素。
*47 測定(2.48)の結果として値が割り当てられる変数。
*48 値を決定するプロセス(2.61)。
*49 複数の基本測定量(2.10)を結合するために遂行するアルゴリズム又は計算。
*50 特定の尺度(2.80)に関して属性(2.4)を定量化するために使う一連の操作の論理的な順序を一般的に記述したもの。
*51 情報ニーズ(2.31)を取り扱う、一つ以上の指標(2.30)及びそれに関連する解釈。
*52 システム、プロセス(2.61)又は活動の状況を明確にすること。
*53 要求事項(2.63)を満たしていないこと。
*54 主張された事象又は処置の発生、及びそれを引き起こしたエンティティを証明する能力。
*55 属性(2.4)の測定(2.48)を通して特徴付けられるもの。
*56 達成する結果。
*57 自らの目的(2.56)を達成するため、責任、権限及び相互関係を伴う独自の機能をもつ、個人又は人々の集まり。
*58 ある組織の機能又はプロセス(2.61)の一部を外部の組織(2.57)が実施するという取決めを行う。
*59 測定可能な結果。
*60 トップマネジメント(2.84)によって正式に表明された組織(2.57)の意図及び方向付け。
*61 インプットをアウトプットに変換する、相互に関連する又は相互に作用する一連の活動。
*62 意図する行動と結果とが一貫しているという特性。
*63 明示されている、通常暗黙のうちに了解されている又は義務として要求されている、ニーズ又は期待。
*64 リスク対応(2.79)後に残っているリスク(2.68)。
*65 確定された目的を達成するため、対象となる事柄の適切性、妥当性及び有効性(2.24)を決定するために実行される活動。
*66 レビューされる特定のもの。
*67 レビューの結果として何を達成するのかを説明したもの。
*68 目的に対する不確かさの影響。
*69 ある特定のリスク(2.68)をとるという情報に基づいた意思決定。
*70 リスク(2.68)の特質を理解し、リスクレベル(2.44)を決定するプロセス。
*71 リスク特定(2.75)、リスク分析(2.70)及びリスク評価(2.74)のプロセス(2.61)全体。
*72 リスク(2.68)の運用管理について、情報の提供、共有又は取得、及びステークホルダ(2.82)との対話を行うために、組織が継続的に及び繰り返し行うプロセス。
*73 リスク(2.68)の重大性を評価するための目安とする条件。
*74 リスク(2.68)及び/又はその大きさが、受容可能か又は許容可能かを決定するために、リスク分析(2.70)の結果をリスク基準(2.73)と比較するプロセス(2.61)。
*75 リスク(2.68)を発見、認識及び記述するプロセス。
*76 リスク(2.68)について、組織(2.57)を指揮統制するための調整された活動。
*77 コミュニケーション、協議及び組織の状況の確定の活動、並びにリスク(2.68)の特定、分析、評価、対応、モニタリング及びレビューの活動に対する、運用管理方針、手順及び実務の体系的な適用。
*78 リスク(2.68)を運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体。
*79 リスク(2.68)を修正するプロセス(2.61)。
*80 連続的若しくは離散的な値の順序集合又は分類の集合で、それに属性(2.4)を対応付けるもの。
*81 セキュリティを実現するための認可された方法を規定した文書。
*82 意思決定若しくは活動に影響を与え、影響されることがある又は影響されると認知している、あらゆる人又は組織。
*83 システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。
*84 最高位で組織(2.57)を指揮し、管理する個人又は人々の集まり。
*85 情報共有コミュニティ内での情報交換を支援する、自立した組織。
*86 取決め又は慣習に従って定義し採用した特別の量で、同じ種類の他の量をそれと比較することによって、その量の相対的な大きさを表現するためのもの。
*87 客観的証拠を提示することによって、特定の意図された用途又は適用に関する要求事項が満たされていることを確認すること。
*88 客観的証拠を提示することによって、規定要求事項が満たされていることを確認すること。
*89 一つ以上の脅威(2.83)によって付け込まれる可能性のある、資産又は管理策(2.16)の弱点。

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-09-26 (火) 14:27:45 (854d)