情報セキュリティ用語の補足説明については、以下にまとめています。
ここでは、以下のISMSの用語の定義のうち、リスクに関する用語について補足します。
JIS Q 27000:2019(ISO/IEC 27000:2018)
情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
JIS規格はWebで参照できます。JIS規格の検索方法については、以下をご参照ください。
ISMSの(個人的に分かりにくい)3大用語
ISMSのリスクアセスメントで必ず出てくる、以下の3つの用語は、個人的にとても分かりにく用語の1つです。
- 機密性(confidentiality)
- 完全性(integrity)
- 可用性(availability)
この3つの用語の定義を、以下のJIS規格から引用します。
- エンティティについても併せて引用しています。
JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
3.10 機密性(confidentiality):
認可されていない個人、エンティティ又はプロセス(3.54)に対して、情報を使用させずまた、開示しない特性。
3.36 完全性(integrity):
正確さ及び完全さの特性。
3.7 可用性(availability):
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。
3.5 認証(authentication):
エンティティの主張する特性が正しいという保証の提供。
注記:エンティティは、”実体”、”主体”などともいう。情報セキュリティの文脈においては、情報を使用する組織及び人。情報を扱う設備、ソフトウェア及び物理的媒体などを意味する。
引用先:「JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」
慣れていない(慣れない)だけかもしれませんが、カタカナ言葉を使わないと説明も難しいです。
3大用語「機密性(confidentiality)、完全性(integrity)、可用性(availability)」の補足説明
機密性(confidentiality)、完全性(integrity)、可用性(availability)は、リスクアセスメントに関連してきますので、もう少し分かりやすい説明を下表に示します。
定義にこだわらず、情報の機密、完全、可用に関する用語だと考えています。
機密性 |
以下のことを防ぐこと
|
---|---|
完全性 | 重要な判断(決断)を行うために使う情報の信頼性を確保するため、以下のことをふせぐこと
|
可用性 | 必要な情報を必要な時に必要な場所で使えること |
JISQ27000:2019の中でリスクに関する用語
「JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」で定義されている用語は、77個あります。
このうち「リスク」を含む用語は、下表の14個、18%です。
リスクは対策すればリスクではなくなりますし、ISMSではリスクを洗い出しリスクに備えることが重要だと考えています。
用語の意味については、英語の方が分かりやすいと思います。
項番 | 用語 |
---|---|
3.39 | リスクレベル(level of risk) |
3.57 | 残留リスク(residual risk) |
3.61 | リスク(risk) |
3.62 | リスク受容(risk acceptance) |
3.63 | リスク分析(risk analysis) |
3.64 | リスクアセスメント(risk assessment) |
3.65 | リスクコミュニケーション及び協議(risk communication and consultation) |
3.66 | リスク基準(risk criteria) |
3.67 | リスク評価(risk evaluation) |
3.68 | リスク特定(risk identification) |
3.69 | リスクマネジメント(risk management) |
3.70 | リスクマネジメントプロセス(risk management process) |
3.71 | リスク所有者(risk owner) |
3.72 | リスク対応(risk treatment) |
JISQ27000の補足説明:JIS版で削除された項目
JIS化に伴い、ISO/IEC27000から以下のISMSとファミリー規格の説明の項目が削除されています。
4 Information security management systems
4.1 General
4.2 What is an ISMS?
4.3 Process approach
4.4 Why an ISMS is important
4.5 Establishing, monitoring, maintaining and improving an ISMS
4.6 ISMS critical success factors4.7 Benefits of the ISMS family of standards
5 ISMS family of standards
5.1 General information
5.2 Standard describing an overview and terminology: ISO/IEC 27000 (this document)
5.3 Standards specifying requirements
5.4 Standards describing general guidelines
5.5 Standards describing sector-specific guidelines
まとめ
以下のISMSの用語の定義のうち、リスクに関する用語について、以下の項目で補足説明をしました。
JIS Q 27000:2019(ISO/IEC 27000:2018)
情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語
- ISMSの(個人的に分かりにくい)3大用語
- 3大用語「機密性(confidentiality)、完全性(integrity)、可用性(availability)」の補足説明
- JISQ27000:2019の中でリスクに関する用語
- JISQ27000の補足説明:JIS版で削除された項目