PR

ISO27000:2019のISMS用語からリスクに関する用語について

ISMS-2022年版

情報セキュリティ用語の補足説明については、以下にまとめています。

情報セキュリティ用語の補足説明
情報セキュリティ用語の補足説明です。ISMS要求事項の用語の正確な意味(定義)は、「JIS Q 27000:2019情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」を参照しください。規格はWebで見ることができます。
pdcatovision.com
2023.01.29

ここでは、以下のISMSの用語の定義のうち、リスクに関する用語について補足します。

JIS Q 27000:2019(ISO/IEC 27000:2018)

情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語

JIS規格はWebで参照できます。JIS規格の検索方法については、以下をご参照ください。

ISO9000シリーズ等のJIS規格と「JIS検索」について
ISO9000シリーズ品質マネジメントシステム要求事項等とJIS規格を検索方法について説明します。「JISQ9004組織の持続的成功のための運営管理−品質マネジメントアプローチ」の「付属書A(参考)自己評価ツール」の自己採点はお勧めです。
pdcatovision.com
2023.12.17
スポンサーリンク

ISMSの(個人的に分かりにくい)3大用語

ISMSのリスクアセスメントで必ず出てくる、以下の3つの用語は、個人的にとても分かりにく用語の1つです。

  • 機密性(confidentiality)
  • 完全性(integrity)
  • 可用性(availability)

この3つの用語の定義を、以下のJIS規格から引用します。

  • エンティティについても併せて引用しています。

JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語

3.10 機密性(confidentiality):

認可されていない個人、エンティティ又はプロセス(3.54)に対して、情報を使用させずまた、開示しない特性。

3.36 完全性(integrity):

正確さ及び完全さの特性。

3.7 可用性(availability):

認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。

3.5 認証(authentication):

エンティティの主張する特性が正しいという保証の提供。

注記:エンティティは、”実体”、”主体”などともいう。情報セキュリティの文脈においては、情報を使用する組織及び人。情報を扱う設備、ソフトウェア及び物理的媒体などを意味する。

引用先:「JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」

慣れていない(慣れない)だけかもしれませんが、カタカナ言葉を使わないと説明も難しいです。

3大用語「機密性(confidentiality)、完全性(integrity)、可用性(availability)」の補足説明

機密性(confidentiality)、完全性(integrity)、可用性(availability)は、リスクアセスメントに関連してきますので、もう少し分かりやすい説明を下表に示します。

定義にこだわらず、情報の機密、完全、可用に関する用語だと考えています。

機密性

以下のことを防ぐこと

  • 会社やお客様の機密情報が漏洩(流出)すること
  • ノウハウなどのビジネス上重要な(価値のある)情報が、ライバル企業などに知られてしまうこと(情報の盗用)
完全性 重要な判断(決断)を行うために使う情報の信頼性を確保するため、以下のことをふせぐこと

  • 情報が意図的に改ざんされること
  • 意図せずに変更されること
可用性  必要な情報を必要な時に必要な場所で使えること

JISQ27000:2019の中でリスクに関する用語

「JISQ27000:2019 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語」で定義されている用語は、77個あります。

このうち「リスク」を含む用語は、下表の14個、18%です。

リスクは対策すればリスクではなくなりますし、ISMSではリスクを洗い出しリスクに備えることが重要だと考えています。

用語の意味については、英語の方が分かりやすいと思います。

項番 用語
3.39 リスクレベル(level of risk)
3.57 残留リスク(residual risk)
3.61 リスク(risk)
3.62 リスク受容(risk acceptance)
3.63 リスク分析(risk analysis)
3.64 リスクアセスメント(risk assessment)
3.65 リスクコミュニケーション及び協議(risk communication and consultation)
3.66 リスク基準(risk criteria)
3.67 リスク評価(risk evaluation)
3.68 リスク特定(risk identification)
3.69 リスクマネジメント(risk management)
3.70 リスクマネジメントプロセス(risk management process)
3.71 リスク所有者(risk owner)
3.72 リスク対応(risk treatment)

JISQ27000の補足説明:JIS版で削除された項目

JIS化に伴い、ISO/IEC27000から以下のISMSとファミリー規格の説明の項目が削除されています。

ISO/IEC 27001:2022
Information security, cybersecurity and privacy protection — Information security management systems — Requirements
www.iso.org

4 Information security management systems

4.1 General

4.2 What is an ISMS?

4.3 Process approach

4.4 Why an ISMS is important

4.5 Establishing, monitoring, maintaining and improving an ISMS

4.6 ISMS critical success factors4.7 Benefits of the ISMS family of standards

5 ISMS family of standards

5.1 General information

5.2 Standard describing an overview and terminology: ISO/IEC 27000 (this document)

5.3 Standards specifying requirements

5.4 Standards describing general guidelines

5.5 Standards describing sector-specific guidelines

引用先:ISO Online browsing platformより

スポンサーリンク

まとめ

以下のISMSの用語の定義のうち、リスクに関する用語について、以下の項目で補足説明をしました。

JIS Q 27000:2019(ISO/IEC 27000:2018)

情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語

  • ISMSの(個人的に分かりにくい)3大用語
  • 3大用語「機密性(confidentiality)、完全性(integrity)、可用性(availability)」の補足説明
  • JISQ27000:2019の中でリスクに関する用語
  • JISQ27000の補足説明:JIS版で削除された項目
スポンサーリンク
タイトルとURLをコピーしました