情報技術(shù)一セキュリティ技術(shù)一情報セキュリティマネジメントシステムー用語日本工業(yè)標(biāo)準(zhǔn)調(diào)查會審議(日本規(guī)格協(xié)會発行)Q27000:2019日本工業(yè)標(biāo)準(zhǔn)調(diào)査會標(biāo)準(zhǔn)第二部會構(gòu)成表大青伊巖大青伊巖內(nèi)江酒住高田橘平水山(部會長)(委員)幸富祐淳里真幸富祐淳里真哲香藤智田雄一般財団法人日本規(guī)格協(xié)會崎谷村崎谷村爪本根正吉子弘幸織一般財団法人電気安全環(huán)境研究所全國地域婦人団體連絡(luò)協(xié)議會一般社団法人日本電機(jī)工業(yè)會一般社団法人ビジネス機(jī)械·情報システム産業(yè)協(xié)會IEC/CAB日本代表委員(富士ぜロックス株式會社)東京工業(yè)大學(xué)主婦連合會主務(wù)大臣:経濟(jì)産業(yè)大臣制定:平成26.3.20改正:平成31.3.20官報公示:平成31.3.20原案作成者:一般財團(tuán)法人日本規(guī)格協(xié)會審議部會:日本工業(yè)標(biāo)準(zhǔn)調(diào)査會標(biāo)準(zhǔn)第二部會(部會長大崎博之)なお,日本工業(yè)規(guī)格は,工業(yè)標(biāo)準(zhǔn)化法第15條の規(guī)定によって,少なくとも5年を経過する日までに日本工業(yè)標(biāo)準(zhǔn)調(diào)査會の密議に付され,速やかに,確認(rèn),改正又は廃止されます?！瘛馫27000:2019●0序文 1 10.2この規(guī)格の目的 10.3この規(guī)格の內(nèi)容 11適用範(fàn)囲 22引用規(guī)格 23用語及び定義 2參考文獻(xiàn) ●●著作棉法により無斷での復(fù)製,転截等は禁止されております。Q27000:2019調(diào)査會の審議を経て,経済産業(yè)大臣が改正した日本工業(yè)規(guī)格である。これによって,JISQ27000:2014は用新案権に関わる確認(rèn)について,責(zé)任はもたない。●日本工業(yè)規(guī)格JIS情報技術(shù)一セキュリティ技術(shù)一情報セキュリティInformationtechnology—Securitytechniques—Informationsecurityこの規(guī)格では,次のような表現(xiàn)形式を用いる。一“~することが望ましい(should)”は,推奬を示す。Q27000:2019改正され,この規(guī)格に置き換えられた。この規(guī)格は,著作権法で保護(hù)対象となっている著作物である。を喚起する。経済産業(yè)大臣及び日本工業(yè)標(biāo)準(zhǔn)調(diào)査會は,このような特許権,出願公開後の特許出願及び実用新案権に関わる確認(rèn)について,責(zé)任はもたない。日本工業(yè)規(guī)格JISマネジメントシステムー用語この規(guī)格は,2018年に第5版として発行されたISO/IEC27000を基とし,簡條3の用語及び定義についJTCl(情報技術(shù))/SC27(セキュリティ技術(shù))には,情報セキュリティのためのマネジメントシステム規(guī)ISMSファミリ規(guī)格を用いることによって,組織は,財務(wù)情報,知的財産,従業(yè)員情報,及び顧客又は2Q27000:2019あらゆる形態(tài)及び規(guī)模の組織(例えば,営利企業(yè),政府機(jī)関,非営利団體)に適用できる。この規(guī)格で対象とする用語及び定義は,次のとおりである。一ISMSファミリ規(guī)格において,新しい用語を定義することを制限するものではない。ISO/IEC27000:2018,Informationtechnology—Securitytechniques—Informationsecuritymanagementsystems-Overviewandvocabulary(MOD)ISO及びIECは,次のURLにおいて,標(biāo)準(zhǔn)化に用いる用語上データベースを維持する。一ISOOnlinebrowsingplatform:/obp—IECElectropedia:/3.1アクセス制御(accesscontrol)體系的で,獨立し,文書化したプロセス(3.54)。3Q27000:20193.4監(jiān)查範(fàn)囲(auditscope)監(jiān)査(3.3)の及ぶ領(lǐng)域及び境界。3.5可用性(availability)3.8基本測定量(basemeasure)力量(competence)3.10認(rèn)可されていない個人,エンティティ又はプロセス(3.54)に対して,情報を使用させず,また,開示3.11要求事項(3.56)を滿たしていること。3.12目的(3.49)に影響を與える事象(3.21)の結(jié)末(outcome)。注記1一つの事象が,様々な結(jié)果につながることがある。注記2結(jié)果は,確かなことも不確かなこともある。情報セキュリティの文脈において,結(jié)果は,通常,好ましくないものである。4Q27000:20193.13継続的改善(continualimprovement)パフォーマンス(3.52)を向上するために繰り返し行われる活動。3.14け,実務(wù)及びその他の処置を含む。3.15管理策(3.14)を?qū)g施した結(jié)果として,達(dá)成することを求められる事項を記載したもの。3.16修正(correction)検出された不適合(3.47)を除去するための処置。3.17是正処置(correctiveact不適合(3.47)の原因を除去し,再発を防止するための処置。3.18導(dǎo)出測定量(derivedmeasure)複數(shù)の基本測定量(3.8)の値の関數(shù)として定義した測定量(3.42)。組織(3.50)が管理し,維持するよう要求されている情報,及びそれが含まれている媒體。注記1文書化した情報は,あらゆる形式及び媒體の形をとることができ,あらゆる情報源から得る一組織(3.50)の運用のために作成された情報(文書類)一達(dá)成された結(jié)果の証拠(記録)3.20計畫した活動を?qū)g行し,計畫した結(jié)果を達(dá)成した程度。3.21●5Q27000:2019注記外部狀況には,次の事項を含むことがある。一國際,國內(nèi),地方又は近隣地域を問わず,文化,社會,政治,法律,規(guī)制,金融,技術(shù),経(JISQ0073:2010の參照)組織(3.50)の情報セキュリティ(3.28)活動を指導(dǎo)し,管理するシステム。3.243.26情報二一ズ(informationneed)目的(3.49),目標(biāo),リスク及び問題點を管理するために必要となる見解。情報処理施設(shè),情報処理設(shè)備(informationprocessingfacilities)情報の機(jī)密性(3.10),完全性(3.36)及び可用性(3.7)を維持すること。注記さらに,真正性(3.6),責(zé)任追跡性,否認(rèn)防止(3.48),信頼性(3.55)などの特性を維持する●6Q27000:20193.29継続した情報セキュリティ(3.28)の運用を確実にするためのプロセス(3.54)及び手順。3.30情報セキュリティ(3.28)方針(3.53)への違反若しくは管理策(3.14)の不具合の可能性,又はセキュ3.31望まない単獨若しくは一連の情報セキュリティ事象(3.30),又は予期しない単獨若しくは一連の情報セ3.32情報セキュリティインシデント(3.31)を検出し,報告し,評価し,応対し,対処し,更にそこから學(xué)習(xí)するための一連のプロセス(3.54)。3.33ISMS專門家[informationsecuritymanagementsystem(ISMS)professional]一つ又は複數(shù)のセキュリティマネジメントシステムプロセス(3.54)を確立し,実施し,維持し,継続3.34情報を共有することに合意した組織(3.50)のグループ。注記組織は,個人であることもある。3.35ァプリケーション,サービス,IT資産,又は情報を取り扱う他の構(gòu)成要素等の組合せ。3.37ある決定事項若しくは活動に影響を與え得るか,その影響を受け得るか,又はその影響を受けると認(rèn)識している,個人又は組織(3.50)。3.38內(nèi)部狀況(internalcontext)組織(3.50)が自らの目的を達(dá)成しようとする場合の內(nèi)部環(huán)境。注記內(nèi)部狀況には,次の事項を含むことがある。一統(tǒng)治,組織體制,役割及びアカウンタビリティ7Q27000:2019一契約関係の形態(tài)及び範(fàn)囲あり得る。測定量(measure)測定(measurement)(ISO/IEC/IEEE15939:2017の3.20參照)測定方法(measurementmethod)8Q27000:2019型がある。一主観的人間の判斷を含んだ定量化監(jiān)視(monitoring)不適合(non-conformity)否認(rèn)防止(non-repudiation)主張された事象(3.21)又は処置の発生,及びそれらを引き起こしたエンテイティを証明する能力。3.50組織(organization)の集まり。まれる。ただし,これらに限定されるものではない。3.51外部委託する(outsource)ある組織の機(jī)能又はプロセス(3.54)の一部を外部の組織(3.50)が実施するという取決めを行う。Q27000:20193.52要求事項(requirement)されていることが,組織及び利害関係者にとって,慣習(xí)又は慣行であることを意味する。殘留リスク(residualrisk)Q27000:20193.62ある特定のリスク(3.61)をとるとい3.633.643.65Q27000:2019の結(jié)果をリスク基準(zhǔn)(3.66)と比較するプロセス(3.54)。(JISQ0073:2010の3.7.1參照)リスク特定(riskidentificat注記1リスク特定には,リスク源,事象(3.21),それらの原因及び起こり得る結(jié)果(3.12)の特定(JISQ0073:2010の3.5.1參照)(JISQ0073:2010の2.1參照)対応,監(jiān)視及びレビューの活動に対する,運用管理方針(3.53),手順及び実務(wù)の體系的な適用。(JISQ0073:2010の參照)Q27000:2019リスク対応(risktreatment)注記1リスク対応には,次の事項を含むことがある。一ある機(jī)會を追求するために,リスクをとる又は増加させること一起こりやすさ(3.40)を変えること一結(jié)果(3.12)を変えること3.74注記2マネジメントシステム(3.41)の適用範(fàn)囲が組織の一部だけの場合,トップマネジメントとは,組織內(nèi)のその一部を指揮し,管理する人をいう。最高経営責(zé)任者,最高財務(wù)責(zé)任者,最高情報責(zé)任者及び類似の役職が含まれることがある。情報共有コミュニティ(3.34)內(nèi)での情報交換を支援する,自立した組織(3.50)。3.77●Q27000:2019●●注記対応國際規(guī)格:ISO9000:2015,Qualitymanagementsystems—Fundamentalsandvocabulary(IDT)[2]ISO/IEC/IEEE15939:2017,Systemsandsoftwareengineering—Measurementprocess注記対応國際規(guī)格:ISO/IEC17021,Conformityassessment—Requirementsforbodiesprovidingauditandcertificationofmanagementsystems(IDT)注記対応國際規(guī)格:ISO19011:2011,Guidelinesforauditingmanagementsystems([5]JISQ20000-1:2012情報技術(shù)一サービスマネジメント一第1部:サービスマネジメントシステム要求事項注記対応國際規(guī)格:ISO/IEC20000-1:2011,Informationtechnology-Servicemanagement-Part1:Servicemanagementsystemrequirements(IDT)注記対応國際規(guī)格:ISO/IEC27001,Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems—Requirements(IDT)注記対応國際規(guī)格:ISO/IEC27002,Informationtechnology-Securitytechniques-Codeofpracticeforinformationsecuritycontrols(IDT)[8]ISO/IEC27003,Informationtechnology-Securitytechniques-Informationsecuritymanagementsystems-Guidance[9]ISO/IEC27004,Informationtechnology—Securitytechniques—Informationsecuritymanagement-Monitoring,measurement,analysisandevaluation[10]ISO/IEC27005,Informationtechnology-Securitytechniques-Informationsecurityriskmanagement注記対応國際規(guī)格:ISO/IEC27006,Informationtechnology-Securitytechniques-Requirementsforbodiesprovidingauditandcertificationofinformationsecuritymanagementsystems(IDT)[12]ISO/IEC27007,Informationtechnology—Securitytechniques—Guidelinesforinformationsecuritymanagementsystemsauditing[13]ISO/IECTR27008,Informationtechnology—Securitytechniques—Guidelinesforauditorsoninformationsecuritycontrols[14]ISO/IEC27009,Informationtechnology-Securitytechniques—Sector-specificapplicationofISO/IEC27001一Requirements[15]ISO/IEC27010,Informationtechnology—Securitytechniques—Informationsecuritymanagementfor[16]ISO/IEC27011,Informationtechnology-Securitytechniques-CodeofpracticeforinformationsecurityQ27000:2019[17]ISO/IEC27013Informationtechnology-Securitytechniques—GuidanceontheintegratedimplementationofISO/IEC27001andISO/IEC20000-1注記対応國際規(guī)格:ISO/IEC27014,Informationtechnology—Securitytechniques—Governanceofinformationsecurity(IDT)[19]ISO/IECTR27016,Informationtechnology—Securitytechniques-Informationsecuritymanagement-Organizationaleconomicsキュリティ管理策の実踐の規(guī)範(fàn)注記対応國際規(guī)格:ISO/IEC27017,Informationtechnology—Securitytechniques—CodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloudservices(IDT)[21]ISO/IEC27018,Informationtechnology—Securitytechniques—Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPIIprocessors[22]ISO/IEC27019,Informationtechnology—Securitytechniques-Informationsecuritycontrolsfortheenergyutilityindustry[23]ISO/IEC27021,Informationtechnology—Securitytechniques—Competencerequirementsforinformationsecuritymanagementsystemsprofessionals[24]ISO27799,Healthinformatics—InformationsecuritymanagementinhealthusingISO/IEC27002注記対応國際規(guī)格:ISOGuide73:2009,Riskmanagement—Vocabulary(IDT)附屬書JA(參考)Q27000:2019JISと対応國際規(guī)格との対比表Q27000:2019JISQ27000:2019情報技術(shù)一セキュリティ技術(shù)一情報セキュリティマネジメントシステムー用語securitymanagementsystems-Overviewandvocabulary(I)JISの規(guī)定(II)國際規(guī)格番號(II)國際規(guī)格の規(guī)定(IV)JISと國際規(guī)格との技術(shù)的差異の簡條ごとの評価及びその內(nèi)容(V)JISと國際規(guī)格との技術(shù)的差異の理由及び今後の対策簡條番號內(nèi)容筒條番號內(nèi)容簡條ごとの評価技術(shù)的差異の內(nèi)容1適用範(fàn)囲ISMSファミリ規(guī)格の用語及び定義1ISMSファミリ規(guī)格の用語及び定義変更JISでは,ISMSの概要に関する記載を削除した。ISMS及びISMSファミリ規(guī)格の概要に該當(dāng)する対応國際規(guī)格の簡條4及び簡條5は,參考情報を提供するものでJISとして規(guī)定する必要性が認(rèn)められず,削除したため。2引用規(guī)格3用語及び定義3一致一一4削除一この簡條の內(nèi)容は,參考情報を提供するものでJISとして規(guī)定する必要性が認(rèn)められないため。一一5ISMSファミリ規(guī)格の概要削除この簡條の內(nèi)容は,參考情報を提供するものでJISとして規(guī)定する必要性が認(rèn)められないため。JISと國際規(guī)格との対応の程度の全體評価:ISO/IEC27000:2018,MOD注記1簡條ごとの評価欄の用語の意味は,次による。一一致………………技術(shù)的差異がない。一削除………………國際規(guī)格の規(guī)定項目又は規(guī)定內(nèi)容を削除している。一変更……………國際規(guī)格の規(guī)定內(nèi)容を変更している。注記2JISと國際規(guī)格との対応の程度の全體評価欄の記號の意味は,次による。-MOD…………國際規(guī)格を修正している。六六情報技術(shù)一セキュリティ技術(shù)一情報セキュリティマネジメントシステムー用語1制定の趣旨1.1ISO/IEC27000の制定及び改正の趣旨2版への改正は,上記の內(nèi)容に限定された。techniques-Managementofinformationandcommunicationstechnologysecurity-Part1:Conceptsandtechniques—Informationsecuritymanagementsystemsfundamentalsandvocabulary)のfundamentalsが上記を経て,ISO/IEC27000の第1版は,2009年5月に制定された。Q27000:2019解説びISO/IEC27002の中で必要な用語を定義していたが,これらの規(guī)格中では,用語及び定義を個別に時期に改正する必要性が認(rèn)識され,2011年4月のシンガポール會合で改正作業(yè)の開始に合意した。いるISO/IEC27000ファミリ規(guī)格のタイトルが違っている,ある用語の定義に,本國際規(guī)格で定義されている用語が使用されている場合に,當(dāng)該用語を定義する細(xì)分簡條番號が付されていないなどの誤ため,規(guī)格全體の品質(zhì)を下げていると判斷し,改訂が行われた。なお,本改訂においては,用語の新規(guī)追加や定義內(nèi)容の変更などは発生しなかった。リ規(guī)格での共通的な使用に相當(dāng)しないものが多くISO/IEC27000に記載されており,誤解を生じないようにISO/IEC27004:2009固有の用語である旨の注記を入れるなどの対応をしていた。ISO/IECことから2018年6月に,対応國際規(guī)格をQ27000:2019解説JTCG(合同技術(shù)調(diào)整グループ)において,ISOにおける全てのマネジメントシステム規(guī)格 Q27000:2019解説扱う用語が増加していること,また,既存規(guī)格の改訂などに伴う見直しも多く発生すること康康律布良秀芳和直慎茉(委員長)(委員)(委員長)(委員)行(関係者)崇梓行(関係者)崇梓(事務(wù)局)(事務(wù)局)所屬 一般財団法人日本規(guī)格協(xié)會(執(zhí)筆者相羽律子)著作権法により無斷での複製,転截等は禁止されております?！瘛馫27000:2019用語索引(五十音順)用語番號英語用語番號英語【あ】3.33information3.33informationsecuritymanagementsystem(ISMS)professional3.1accesscontrol3.40likelihood3.51outsource3.22externalcontext3.7availability3.46monitoring3.36integrity3.14control3.15controlobjective3.8basemeasure3.10confidentiality3.74threatアクセス制御【お】起こりやすさ【か】外部委託する外部狀況可用性監(jiān)査監(jiān)査範(fàn)囲監(jiān)視完全性管理策管理目的【き】基本測定量機(jī)密性脅威情報セキュリティ事象3.30informationsecurityevent情報二一ズ3.26informationneed真正性3.6authenticity信頼性3.55reliability信頼できる情報コミ3.76trustedinformationュニケーション工【す】ステークホルダー3.37stakeholder【せ】ぜい弱性3.77vulnerabilityセキュリティ実施標(biāo)準(zhǔn)3.73securityimplementationstandard是正処置3.17correctiveaction【そ】測定3.43measurement測定の関數(shù)3.44measurementfunction測定方法3.45measurementmethod測定量3.42measure組織3.50organization【て】適合3.11conformity【と】導(dǎo)出測定量3.18derivedmeasure【な】內(nèi)部狀況3.38internalcontext【に】認(rèn)証3.5authentication【は】パフォーマンス3.52performance【U】否認(rèn)防止3.48non-repudiation【ふ】不適合3.47non-conformityプロセス3.54process文書化した情報3.19documentedinformation【ほ】方針3.53policy【ま】マネジメントシステム3.41managementsystem【け】経営陣3.24governingbody継続的改善3.13continualimprovement結(jié)果3.12consequence【こ】攻撃3.2attack【さ】殘留リスク3.57residualrisk【L】事象3.21event指標(biāo)3.25indicator修正3.16correction情報共有コミュニティ3.34informationshar