情報セキュリティマネジメントシステム−用語
目 次
Links †
- 日本工業規格 JIS Q 27000:2014
- 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
- JIS_Q_27000:2014
- 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−用語
- Information technology-Security techniques-Information security management systems-Overview and vocabulary
2 用語及び定義 †
2.1 アクセス制御(access control) *1
2.2 分析モデル(analytical model) *2
2.3 攻撃(attack) *3
2.4 属性(attribute) *4
2.5 監査(audit) *5
2.6 監査範囲(audit scope) *6
2.7 認証(authentication) *7
エンティティは、“実体”、“主体”などともいう。情報セキュリティの文脈においては、情報を使用する組織及び人、情報を扱う設備、ソフトウェア及び物理的媒体などを意味する。
2.8 真正性(authenticity) *8
2.9 可用性(availability) *9
2.10 基本測定量(base measure) *10
2.11 力量(competence) *11
2.12 機密性(confidentiality) *12
2.13 適合(conformity) *13
2.14 結果(consequence) *14
2.15 継続的改善(continual improvement) *15
2.16 管理策(control) *16
2.17 管理目的(control objective) *17
2.18 修正(correction) *18
2.19 是正処置(corrective action) *19
2.20 データ(data) *20
2.21 判断基準(decision criteria) *21
2.22 導出測定量(derived measure) *22
2.23 文書化した情報(documented information) *23
関連するプロセス(2.61)を含むマネジメントシステム(2.46)
組織の運用のために作成された情報(文書類)
達成された結果の証拠(記録)
2.24 有効性(effectiveness) *24
2.25 事象(event) *25
2.26 業務執行幹部(executive management) *26
2.27 外部状況(external context) *27
国際、国内、地方又は近隣地域を問わず、文化、社会、政治、法律、規制、金融、技術、経済、自然及び競争の環境
組織(2.57)の目的(2.56)に影響を与える主要な原動力及び傾向
外部ステークホルダ(2.82)との関係並びに外部ステークホルダの認知及び価値観
2.28 情報セキュリティガバナンス(governance of information security) *28
2.29 経営陣(governing body) *29
2.30 指標(indicator) *30
2.31 情報ニーズ(information need) *31
2.32 情報処理施設、情報処理設備(information processing facilities) *32
2.33 情報セキュリティ(information security) *33
さらに、真正性(2.8)、責任追跡性、否認防止(2.54)、信頼性(2.62)などの特性を維持することを含めることもある。
2.34 情報セキュリティ継続(information security continuity) *34
2.35 情報セキュリティ事象(information security event) *35
2.36 情報セキュリティインシデント(information security incident) *36
2.37 情報セキュリティインシデント管理(information security incident management) *37
2.38 情報共有コミュニティ(information sharing community) *38
2.39 情報システム(information system) *39
2.40 完全性(integrity) *40
2.41 利害関係者(interested party) *41
2.42 内部状況(internal context) *42
統治、組織体制、役割及びアカウンタビリティ
方針、目的及びこれらを達成するために策定された戦略
資源及び知識としてみた場合の能力(例えば、資本、時間、人員、プロセス、システム、技術)
情報システム、情報の流れ及び意思決定プロセス(公式及び非公式の両方を含む。)
内部ステークホルダとの関係並びに内部ステークホルダの認知及び価値観
組織の文化
組織が採択した規格、指針及びモデル
契約関係の形態及び範囲
2.43 ISMS *43
2.44 リスクレベル(level of risk) *44
2.45 起こりやすさ(likelihood) *45
2.46 マネジメントシステム(management system) *46
2.47 測定量(measure) *47
2.48 測定(measurement) *48
2.49 測定の関数(measurement function) *49
2.50 測定方法(measurement method) *50
主観的:人間の判断を含んだ定量化
客観的:数値的な規則に基づいた定量化
2.51 測定結果(measurement results) *51
2.52 監視(monitoring) *52
2.53 不適合(nonconformity) *53
2.54 否認防止(non-repudiation) *54
2.55 対象物(object) *55
2.56 目的(objective) *56
2.57 組織(organization) *57
2.58 外部委託する(outsource) *58
2.59 パフォーマンス(performance) *59
2.60 方針(policy) *60
2.61 プロセス(process) *61
2.62 信頼性(reliability) *62
2.63 要求事項(requirement) *63
2.64 残留リスク(residual risk) *64
2.65 レビュー(review) *65
2.66 レビュー対象物(review object) *66
2.67 レビュー目的(review objective) *67
2.68 リスク(risk) *68
2.69 リスク受容(risk acceptance) *69
2.70 リスク分析(risk analysis) *70
2.71 リスクアセスメント(risk assessment) *71
2.72 リスクコミュニケーション及び協議(risk communication and consultation) *72
2.73 リスク基準(risk criteria) *73
2.74 リスク評価(risk evaluation) *74
2.75 リスク特定(risk identification) *75
2.76 リスクマネジメント(risk management) *76
2.77 リスクマネジメントプロセス(risk management process) *77
2.78 リスク所有者(risk owner) *78
2.79 リスク対応(risk treatment) *79
リスクを生じさせる活動を、開始又は継続しないと決定することによって、リスクを回避すること。
ある機会を追求するために、リスクをとる又は増加させること。
リスク源を除去すること。
起こりやすさを変えること。
結果を変えること。
一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)。
情報に基づいた選択によって、リスクを保有すること。
好ましくない結果に対処するリスク対応は、“リスク軽減”、“リスク排除”、“リスク予防”及び“リスク低減”と呼ばれることがある。
リスク対応が、新たなリスクを生み出したり、又は既存のリスクを修正したりすることがある。
2.80 尺度(scale) *80
2.81 セキュリティ実施標準(security implementation standard) *81
2.82 ステークホルダ(stakeholder) *82
2.83 脅威(threat) *83
2.84 トップマネジメント(top management) *84
2.85 信頼できる情報コミュニケーションエンティティ(trusted information communication entity) *85
2.86 測定の単位(unit of measurement) *86
2.87 妥当性確認(validation) *87
2.88 検証(verification) *88
2.89 ぜい弱性(vulnerability) *89