JIS Q27000-2019-01(情報セキュリティマネジメント用語)に出てくる用語を、カテゴリ分けして表にしました。
組織・マネジメント
| 用語 | 説明 |
|---|---|
| 目的 | 達成する結果 |
| 組織 | 自らの目的を達成するため責任・権限及び相互関係を伴う独自の機能をもつ、人及び施設の集まり |
| トップマネジメント | 最高位で組織を指揮し、管理する個人又は人々の集まり |
| 方針 | トップマネジメントによって正式に表明された組織の意図及び方向付け |
| マネジメントシステム | 目的を達成するためのプロセスを確立するための、相互に関連する又は相互に作用する、組織の一連の要素 |
| プロセス | インプットをアウトプットに変換する一連の活動 |
| 事象 | ある一連の周辺状況の出現又は変化 |
| 結果 | 目的に影響を与える事象の結末 |
| パフォーマンス | 測定可能な結果 |
| 要求事項 | 通常暗黙のうちに了解されている又は義務として要求されている、ニーズ又は期待 |
| アクセス制御 | 資産へのアクセスが,事業上及びセキュリティ要求事項に基づいて認可及び制限されることを確実にする手段 |
| 適合 / 不適合 | 要求事項を満たしていること / いないこと |
| 文書化した情報 | 組織が管理し維持するよう要求されている情報 |
| 外部委託する | 組織の機能又はプロセスの一部を、外部の組織が実施するという取決めを行う。 ※外部委託した機能又はプロセスは、マネジメントシステムの適用範囲内 外部の組織は,マネジメントシステムの適用範囲の外 |
リスクマネジメント
| 用語 | 説明 |
|---|---|
| リスク | 目的に対する不確かさの影響。 |
| リスクマネジメント | リスクについて、組織を指揮統制するための調整された活動 |
| リスク特定 | リスクを発見、認識及び記述するプロセス |
| リスク分析 | リスクの特質を理解し、リスクレベルを決定するプロセス |
| 起こりやすさ | 何かが起こる可能性 |
| リスクレベル | 結果とその起こりやすさの組合せとして表現される、リスクの大きさ |
| リスク所有者 | リスクを運用管理することについて、アカウンタビリティ(きちんと説明できる責任)及び権限をもつ人又は主体 |
| リスク対応 | リスクを修正するプロセス |
| 残留リスク | リスク対応後に残っているリスク |
情報セキュリティ特性(守る対象と脅威)
| 用語 | 説明 |
|---|---|
| 機密性 | 認可されていないエンティティ(*)や、プロセスに対して、情報を使用させない、または開示しない特性 (*)・・・人、情報を扱う設備、ソフトウェア及び物理的媒体など |
| 完全性 | 正確さ及び完全さの特性 |
| 可用性 | 認可されたエンティティが要求したときにアクセス及び使用できること |
| 真正性(しんせいせい) | エンティティはそれが主張するとおりのものであるという特性 |
| 信頼性 | 意図する行動と結果とが一貫しているという特性 |
| 否認防止 | 主張された事象又は処置の発生、及びそれらを引き起こしたエンティティを証明する能力 |
| 情報セキュリティ | 情報の機密性、完全性、可用性を維持すること。 |
| 攻撃 | 資産の破壊、暴露、改ざん、無効化、盗用、認可されていないアクセス |
| 脅威 | システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因 |
| 管理策 | リスクを修正する対策 (修正するためのプロセス,方針、対応) |
| ぜい弱性 | 一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点 |
運用・統制(実際の動き)
| 用語 | 説明 |
|---|---|
| 管理目的 | 管理策を実施した結果として、達成することを求められる事項を記載したもの |
| 監視 | システム、プロセス、活動の状況を明確にすること |
| レビュー | 目的を達成するため、対象となる事柄の適切性、妥当性及び有効性を決定するために実行される活動 |
| 監査 | 監査証拠を収集し、客観的に評価するための、体系的で、独立し、文書化したプロセス |
| 是正処置 | 不適合の原因を除去し,再発を防止するための処置。 |
| 修正 | 検出された不適合を除去するための処置 |
| 継続的改善 | パフォーマンスを向上するために繰り返し行われる活動 |
| 情報セキュリティ継続 | 継続した情報セキュリティの運用を確実にするためのプロセス及び手順 |
| 情報セキュリティインシデント | 望まない単独若しくは一連の情報セキュリティ事象 予期しない単独若しくは一連の情報セキュリティ事象 事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。 |
| 情報セキュリティインシデント管理 | 情報セキュリティインシデントを検出、報告、評価、応対、対処 更にそこから学習するための一連のプロセス |
| 情報セキュリティ事象 | 情報セキュリティ、方針への違反 管理策の不具合の可能性 セキュリティに関係し得る未知の状況 |
測定・評価(改善の根拠)
| 用語 | 説明 |
|---|---|
| 測定 | 値を決定するプロセス |
| 測定量 | 測定の結果として値が割り当てられる変数 |
| 基本測定量 | 単一の属性と、それを定量化するための方法とで定義した測定量 (他の測定量と機能的に独立した測定量) |
| 導出測定量 | 複数の基本測定量の値の関数として定義した測定量 |
| 測定方法 | 決まった順序で測って、数値化するための手順 |
| 指標 | 見積り又は評価を示す測定量 |
| 有効性 | 計画した活動を実行し、計画した結果を達成した程度 |
| 力量 | 意図した結果を達成するために、知識及び技能を適用する能力 |
腕試し(理解テスト)
腕試し(理解テスト)に挑戦する場合はこちらをクリック。
コメント