ISO27001 > ISO27001:2013? > 製造業様向けISO27001 > 医療情報処理業ISO27001? > 付属書A.管理目的及び管理策 > 情報セキュリティ用語
情報セキュリティの用語
ISO27001:2013で用いる主な用語及び定義は、ISO27000による。89個ある。
主な用語を紹介する。
情報セキュリティ(information security)
機密性(confidentiality)
完全性(integrity)
可用性(availability)
真正性(authenticity)
脅威(threat)
ぜい弱性(vulnerability)
リスクマネジメント(risk management)
リスクアセスメント(risk assessment)
リスク分析(risk analysis)
リスク対応(risk treatment)
残留リスク(residual risk)
リスク所有者(risk owner)
アクセス制御(access control)
管理策(control)
管理目的(control objective)
事象(event)
情報セキュリティ事象(information security event)
情報セキュリティインシデント(information security incident)
情報セキュリティインシデント管理(information security incident management)
方針(policy)
プロセス(process)
力量(competence)
利害関係者(interested party)
文書化した情報(documented information)
監査 (audit)
監視(monitoring)
レビュー(review)
外部委託する(outsource)
適合(conformity)
不適合(nonconfonnity)
是正処置(corroctive action)
パフォーマンス(performance)
継続的改善(continual improvement)
有効性(effectiveness)
信頼性(reliability)
ISMSの新規認証取得支援、運用保守・改善支援のコンサルティングを行っております。
情報セキュリティの用語 
ISO27001:2013で用いる主な用語及び定義は、ISO27000による。89個ある。
主な用語を紹介する。
情報セキュリティ(information security)
情報の機密性、完全性及び可用性を維持すること。さらに、真正性、責任追跡性、否認防止、信頼性などの特性を維持することを含めることもある。
機密性(confidentiality)
認可されていない個人、エンティティ又はプロセスに対して、情報を使用させず、また、開示しない特性。
完全性(integrity)
正確さ及び完全さの特性。
可用性(availability)
認可されたエンティティが要求したときに、アクセス及び使用が可能である特性。
真正性(authenticity)
エンティティは、それが主張するとおりのものであるという特性。
脅威(threat)
システム又は組織に損害を与える可能性がある、望ましくないインシデントの潜在的な原因。
ぜい弱性(vulnerability)
一つ以上の脅威によって付け込まれる可能性のある、資産又は管理策の弱点。
リスクマネジメント(risk management)
リスクについて、組織を指揮統制するための調整された活動。
リスクアセスメント(risk assessment)
リスク特定、リスク分析及びリスク評価のプロセス全体。
リスク分析(risk analysis)
リスクの特質を理解し、リスクレベルを決定するプロセス。
リスク対応(risk treatment)
リスクを修正するプロセス。
残留リスク(residual risk)
リスク対応後に残っているリスク。
リスク所有者(risk owner)
リスクを運用管理することについて、アカウンタビリティ及び権限をもつ人又は主体。
アクセス制御(access control)
資産へのアクセスが、事業上及びセキュリティの要求事項に基づいて認可及び制限されることを確実にする手段。
管理策(control)
リスクを修正(modifying)する対策。
管理目的(control objective)
管理策を実施した結果として、達成することを求められる事項を記載したもの。
事象(event)
ある一連の周辺状況の出現又は変化。
情報セキュリティ事象(information security event)
情報セキュリティ方針への違反若しくは管理策の不具合の可能性、又はセキュリティに関係し得る未知の状況を示す、システム、サービス又はネットワークの状態に関連する事象。
情報セキュリティインシデント(information security incident)
望まない単独若しくは一連の情報セキュリティ事象、又は予期しない単独若しくは一連の情報セキュリティ事象であって、事業運営を危うくする確率及び情報セキュリティを脅かす確率が高いもの。
情報セキュリティインシデント管理(information security incident management)
情報セキュリティインシデントを検出し、報告し、評価し、応対し、対処し、更にそこから学習するためのプロセス。
方針(policy)
トップマネジメントによって正式に表明された組織の意図及び方向付け。
プロセス(process)
インプットをアウトプットに変換する、相互に関連する又は相互に作用する一連の活動。
力量(competence)
意図した結果を達成するために、知識及び技能を適用する能力。
利害関係者(interested party)
ある決定事項若しくは活動に影響を与え得るか、その影響を受け得るか、又はその影響を受けると認識している、個人又は組織。
文書化した情報(documented information)
組織が管理し、維持するよう要求されている情報、及びそれが含まれている媒体。
監査 (audit)
監査基準が満たされている程度を判定するために、監査証拠を収集し、それを
客観的に評価するための、体系的で、独立し、文書化したプロセス。
客観的に評価するための、体系的で、独立し、文書化したプロセス。
監視(monitoring)
システム、プロセス又は活動の状況を明確にすること。
レビュー(review)
確定された目的を達成するため、対象となる事柄の適切性、妥当性及び有効性を決定するために実行される活動。
外部委託する(outsource)
ある組織の機能又はプロセスの一部を外部の組織が実施するという取決めを行う。
適合(conformity)
要求事項を満たしていること。
不適合(nonconfonnity)
要求事項を満たしていないこと。
是正処置(corroctive action)
不適合の原因を除去し、再発を防止するための処置。
パフォーマンス(performance)
測定可能な結果。
継続的改善(continual improvement)
パフォーマンスを向上するために繰り返し行われる活動。
有効性(effectiveness)
計画した活動を実行し、計画した結果を達成した程度。
信頼性(reliability)
意図する行動と結果とが一貫しているという特性。
ISMSの新規認証取得支援、運用保守・改善支援のコンサルティングを行っております。
コメントをかく