キュリティ事象であって,事業運営を危うくする確率及び情報セキュリティ(3.28)を脅かす確率が高い情報セキュリティ継続(information security continuity)bodies providing audit and certification of information security management systems(IDT)対応,監視及びレビューの活動に対する,運用管理方針(3.53),手順及び実務の体系的な適用。注記 対応国際規格:ISO/IEC 27001,Information technology−Security techniques−Information最高位で組織(3.50)を指揮し,管理する個人又は人々の集まり。注記1 影響とは,期待されていることから,好ましい方向又は好ましくない方向にかい(乖)離すidentifiable information (PII) in public clouds acting as PII processorsリスク(3.61)の特質を理解し,リスクレベル(3.39)を決定するプロセス(3.54)。目的(3.49)に影響を与える事象(3.21)の結末(outcome)。注記2 不確かさとは,事象,その結果又はその起こりやすさに関する,情報,理解又は知識に,た注記1 トップマネジメントは,組織内で,権限を委譲し,資源を提供する力をもっている。注記 対応国際規格:ISO/IEC 20000-1:2011,Information technology−Service management−Part 1:情報の機密性(3.10),完全性(3.36)及び可用性(3.7)を維持すること。なお,対応の程度を表す記号“MOD”は,ISO/IEC Guide 21-1に基づき,“修正している”注記2 パフォーマンスは,活動,プロセス(3.54),製品(サービスを含む。),システム又は組織(3.50)情報共有コミュニティ(information sharing community)ては技術的内容及び構成を変更することなく作成し,情報セキュリティマネジメントシステム(以下,ISMSある特定のリスク(3.61)をとるという情報に基づいた意思決定。リスク特定(3.68),リスク分析(3.63)及びリスク評価(3.67)のプロセス(3.54)全体。単一の属性とそれを定量化するための方法とで定義した測定量(3.42)。(JIS Q 0073:2010の3.6.1.3を変更。注記2の“不確かなこともあり,目的に対し…”以降を変更した。)注記2 これは,JIS Q 27014:2015における用語及び定義である。この規格は,工業標準化法第14条によって準用する第12条第1項の規定に基づき,一般財団法人日本− IEC Electropedia:https://www.electropedia.org/[9] ISO/IEC 27004,Information technology−Security techniques−Information security management−マネジメントシステム規格は,マネジメントシステムの導入及び運用において従うモデルを提供する。注記1 “通常暗黙のうちに了解されている”とは,対象となるニーズ又は期待が暗黙のうちに了解リスク(3.61)及び/又はその大きさが受容可能か又は許容可能かを決定するために,リスク分析(3.63)inter-sector and inter-organizational communicationsリスク(3.61)を発見,認識及び記述するプロセス(3.54)。できる。また,情報セキュリティ目的という表現の仕方もあり,さらに,同じような意味をリスク(3.61)について,組織(3.50)を指揮統制するための調整された活動。注記1 情報は,リスクの存在,特質,形態,起こりやすさ(3.40),重大性,評価,受容可能性及び第三者から委託された情報を含む,情報資産のセキュリティを管理するための枠組みを策定し,実施する注記4 初期の結果が,連鎖によって,段階的に増大することがある。ある決定事項若しくは活動に影響を与え得るか,その影響を受け得るか,又はその影響を受けると認識格の開発を担当する作業グループがあり,それらの規格は,ISMSファミリ規格とも呼ばれる。注記2 結果は,確かなことも不確かなこともある。情報セキュリティの文脈において,結果は,通注記4 ISMSの場合,組織は,特定の結果を達成するため,情報セキュリティ方針と整合のとれた注記1 監査は,内部監査(第一者)若しくは外部監査(第二者・第三者)のいずれでも,又は複合当する箇条を削除したため,標題及び適用範囲からISMSの概要に関する記載を削除した。[16] ISO/IEC 27011,Information technology−Security techniques−Code of practice for information security[24] ISO 27799,Health informatics−Information security management in health using ISO/IEC 27002(ISO/IEC/IEEE 15939:2017の3.21を変更。注記2を削除した。)[15] ISO/IEC 27010,Information technology−Security techniques−Information security management forこの規格は,2018年に第5版として発行されたISO/IEC 27000を基とし,箇条3の用語及び定義につい主張された事象(3.21)又は処置の発生,及びそれらを引き起こしたエンティティを証明する能力。確定された目的(3.49)を達成するため,対象となる事柄の適切性,妥当性及び有効性(3.20)を決定す[22] ISO/IEC 27019,Information technology−Security techniques−Information security controls for the energy注記 測定方法の類型は,属性を定量化するために使う操作の性質による。これには,次の二つの類注記3 事象は,“事態(incident)”又は“事故(accident)”と呼ばれることがある。− ISO Online browsing platform:https://www.iso.org/obpmanagement systems-Overview and vocabulary注記 対応国際規格:ISO/IEC 27017,Information technology−Security techniques−Code of practice for企業,当局,共同経営会社,非営利団体若しくは協会,又はこれらの一部若しくは組合せが含(JIS Q 0073:2010の3.5.1.3を変更。注記4を削除した。)目的(3.49),目標,リスク及び問題点を管理するために必要となる見解。情報セキュリティインシデント管理(information security incident management)注記 リスク評価は,リスク対応(3.72)に関する意志決定を手助けする。認可されていない個人,エンティティ又はプロセス(3.54)に対して,情報を使用させず,また,開示注記2 管理策が,常に意図又は想定した修正効果を発揮するとは限らない。を喚起する。経済産業大臣及び日本工業標準調査会は,このような特許権,出願公開後の特許出願及び実注記3 “監査証拠”及び“監査基準”は,JIS Q 19011に定義されている。− “〜しなければならない(shall)”は,要求事項を示す。注記3 目的は,例えば,意図する成果,目的(purpose),運用基準など,別の形で表現することも− 内部ステークホルダー(3.37)との関係並びに内部ステークホルダーの認知及び価値観注記2 リスク特定には,過去のデータ,理論的分析,情報に基づいた意見,専門家の意見及びステ注記 対応国際規格:ISO/IEC 27014,Information technology−Security techniques−Governance of注記2 規定要求事項とは,例えば,文書化した情報の中で明示されている要求事項をいう。ことができる。また,これらの規格は,情報の保護に適用した,組織のISMSについて独立した評価のた[8] ISO/IEC 27003,Information technology−Security techniques−Information security management systems−− 共同で意思決定を行うことではなく,意思決定に対するインプットとなる。[6] JIS Q 27001 情報技術−セキュリティ技術−情報セキュリティマネジメントシステム−要求事項調査会の審議を経て,経済産業大臣が改正した日本工業規格である。これによって,JIS Q 27000:2014は− 情報システム(3.35),情報の流れ及び意思決定プロセス(公式及び非公式の両方を含む。)資産の破壊,暴露,改ざん,無効化,盗用,又は認可されていないアクセス若しくは使用の試み。特定の尺度に関して属性を定量化するために使う一連の操作の論理的な順序を一般的に記述したもの。システム又は組織(3.50)に損害を与える可能性がある,望ましくないインシデントの潜在的な原因。アプリケーション,サービス,IT資産,又は情報を取り扱う他の構成要素等の組合せ。ISO/IEC 27000:2018,Information technology−Security techniques−Information securityリスクマネジメントプロセス(risk management process)情報セキュリティ(3.28)方針(3.53)への違反若しくは管理策(3.14)の不具合の可能性,又はセキュ結果(3.12)とその起こりやすさ(3.40)の組合せとして表現される,リスク(3.61)の大きさ。注記3 リスク対応が,新たなリスクを生み出したり,又は既存のリスクを修正したりすることがあリスクコミュニケーション及び協議(risk communication and consultation)(JIS Q 0073:2010の3.6.1.1の定義を参照)との組合せとして表現されることが多い。注記2 好ましくない結果に対処するリスク対応は,“リスク軽減”,“リスク排除”,“リスク予防”及望まない単独若しくは一連の情報セキュリティ事象(3.30),又は予期しない単独若しくは一連の情報セ注記1 リスク対応(3.72)を実施せずにリスク受容となることも,又はリスク対応プロセス(3.54)(JIS Q 0073:2010の3.8.2.2を変更。注記を削除した。)− 資源及び知識としてみた場合の能力[例えば,資本,時間,人員,プロセス(3.54),システ注記 これは,JIS Q 27014:2015における用語及び定義である。(ISO/IEC/IEEE 15939:2017の3.12参照)話を行うために,組織が継続的に及び繰り返し行う一連のプロセス(3.54)。[21] ISO/IEC 27018,Information technology−Security techniques−Code of practice for protection of personallyある組織の機能又はプロセス(3.54)の一部を外部の組織(3.50)が実施するという取決めを行う。[5] JIS Q 20000-1:2012 情報技術−サービスマネジメント−第1部:サービスマネジメントシステム要求(JIS Q 0073:2010の3.1を変更。注記を追加した。)なお,この規格で点線の下線を施してある参考事項は,対応国際規格にはない事項である。変更の一覧(JIS Q 19011:2012の3.14を変更。注記を削除した。)Information technology-Security techniques-Information securityインプットをアウトプットに変換する,相互に関連する又は相互に作用する一連の活動。0073:2010の3.6.1.3の定義を参照),又はこれらの組合せについて述べることによって,そのセキュリティ実施標準(security implementation standard)コミュニケーション,協議及び組織の状況の確定の活動,並びにリスク(3.61)の特定,分析,評価,[17] ISO/IEC 27013 Information technology−Security techniques−Guidance on the integrated implementationリスク(3.61)の運用管理について,情報の提供,共有又は取得,及びステークホルダー(3.37)との対(ISO/IEC/IEEE 15939:2017の3.20参照)[7] JIS Q 27002 情報技術−セキュリティ技術−情報セキュリティ管理策の実践のための規範注記3 マネジメントシステムの適用範囲としては,組織全体,組織内の固有で特定された機能,組情報セキュリティ事象(information security event)の結果をリスク基準(3.66)と比較するプロセス(3.54)。情報セキュリティインシデント(information security incident)最高経営責任者,最高財務責任者,最高情報責任者及び類似の役職が含まれることがある。認可されたエンティティが要求したときに,アクセス及び使用が可能である特性。この規格の一部が,特許権,出願公開後の特許出願又は実用新案権に抵触する可能性があることに注意組織(3.50)の情報セキュリティ(3.28)活動を指導し,管理するシステム。情報処理施設,情報処理設備(information processing facilities)織内の固有で特定された部門,複数の組織の集まりを横断する一つ又は複数の機能,などがof ISO/IEC 27001 and ISO/IEC 20000-1注記2 リスク基準は,規格,法律,方針(3.53)及びその他の要求事項(3.56)から導き出されるこ[13] ISO/IEC TR 27008,Information technology−Security techniques−Guidelines for auditors on informationa) ISMS及びISMSを認証する機関に対する要求事項を規定する規格注記 対応国際規格:ISO 9000:2015,Quality management systems−Fundamentals and vocabulary(IDT)[14] ISO/IEC 27009,Information technology−Security techniques−Sector-specific application of ISO/IEC 27001注記 組織という概念には,法人か否か,公的か私的かを問わず,自営業者,会社,法人,事務所,複数の基本測定量(3.8)の値の関数として定義した測定量(3.42)。注記2 システムの要素には,組織の構造,役割及び責任,計画及び運用が含まれる。この規格は,ISMSファミリ規格で共通して用いている用語及び定義について規定する。この規格は,b) ISMSを確立し,実施し,維持し,改善するためのプロセス全体に関する直接的な支援,詳細な手引複数の基本測定量(3.8)を結合するために遂行するアルゴリズム又は計算。方針(3.53),目的(3.49)及びその目的を達成するためのプロセス(3.54)を確立するための,相互に注記 基本測定量は,他の測定量と機能的に独立した測定量をいう。− リスクを生じさせる活動を,開始又は継続しないと決定することによって,リスクを回避[18] JIS Q 27014 情報技術−セキュリティ技術−情報セキュリティガバナンスinformation security controls(IDT)and certification of management systems(IDT)− 国際,国内,地方又は近隣地域を問わず,文化,社会,政治,法律,規制,金融,技術,経レビュー(3.58)の結果として何を達成するのかを説明したもの。監査基準が満たされている程度を判定するために,監査証拠を収集し,それを客観的に評価するための,security management systems−Requirements(IDT)[10] ISO/IEC 27005,Information technology−Security techniques−Information security risk managementISO及びIECは,次のURLにおいて,標準化に用いる用語上データベースを維持する。注記3 トップマネジメントは,ときに業務執行幹部(executive management)と呼ばれることもあり,[20] JIS Q 27017 情報技術−セキュリティ技術−JIS Q 27002に基づくクラウドサービスのための情報セリスク(3.61)を運用管理することについて,アカウンタビリティ及び権限をもつ人又は主体。用語を用いている。リスクマネジメント(3.69)プロセス内の要素は,“活動(activities)”と呼注記2 内部監査は,その組織自体が行うか又はその組織の代理で外部関係者が行う。[1] JIS Q 9000:2015 品質マネジメントシステム−基本及び用語引である。箇条3に記載している“注記”は,用語上のデータを補足し,用語の使用に関連する規定を含注記 さらに,真正性(3.6),責任追跡性,否認防止(3.48),信頼性(3.55)などの特性を維持する注記2 マネジメントシステム(3.41)の適用範囲が組織の一部だけの場合,トップマネジメントと(JIS Q 0073:2010の3.6.1.1を変更。注記を削除した。)注記 エンティティは,“実体”,“主体”などともいう。情報セキュリティの文脈においては,情報をsecurity management systems professionals注記 外部委託した機能又はプロセスは,マネジメントシステムの適用範囲内にあるが,外部の組織組織(3.50)のパフォーマンス(3.52)及び適合性について説明責任を負う個人又はグループ。注記2 目的は,様々な領域[例えば,財務,安全衛生,環境の到達点(goal)]に関連し得るもので情報共有コミュニティ(3.34)内での情報交換を支援する,自立した組織(3.50)。ISMSファミリ規格を用いることによって,組織は,財務情報,知的財産,従業員情報,及び顧客又は− 関連するプロセス(3.54)を含むマネジメントシステム(3.41)資産へのアクセスが,事業上及びセキュリティ要求事項(3.56)に基づいて認可及び制限されることを注記2 協議とは,ある事柄に関する意思決定又は方向性の決定に先立って,組織(3.50)とそのス注記1 管理策には,リスク(3.61)を修正するためのあらゆるプロセス(3.54),方針(3.53),仕掛注記1 文書化した情報は,あらゆる形式及び媒体の形をとることができ,あらゆる情報源から得る文書化した情報(documented information)注記1 リスク基準は,組織の目的,外部状況(3.22)及び内部状況(3.38)に基づいたものである。トップマネジメント(3.75)によって正式に表明された組織(3.50)の意図及び方向付け。注記 対応国際規格:ISO/IEC 27002,Information technology−Security techniques−Code of practice for一つ以上の脅威(3.74)によって付け込まれる可能性のある,資産又は管理策(3.14)の弱点。(JIS Q 0073:2010の3.8.1を変更。注記1の“意思決定”を“選択”に置き換えた。)注記 対応国際規格:ISO/IEC 27006,Information technology−Security techniques−Requirements forリティに関係し得る未知の状況を示す,システム,サービス若しくはネットワークの状態に関連する事象。JISと国際規格との対応の程度の全体評価:ISO/IEC 27000:2018,MODService management system requirements(IDT)management systems−Overview and vocabulary(MOD)(ISO/IEC/IEEE 15939:2017の3.15を変更。注記1を削除した。)− 権力によってではなく,影響力によって,意思決定に影響を与えるプロセスである。− 一つ以上の他者とリスクを共有すること(契約及びリスクファイナンシングを含む。)注記2 JISと国際規格との対応の程度の全体評価欄の記号の意味は,次による。[23] ISO/IEC 27021,Information technology−Security techniques−Competence requirements for information自らの目的(3.49)を達成するため,責任,権限及び相互関係を伴う独自の機能をもつ,個人又は人々システム,プロセス(3.54)又は活動の状況を明確にすること。注記4 リスクは,ある“事象”(その周辺状況の変化を含む。)の結果とその発生の“起こりやすさ”information security controls based on ISO/IEC 27002 for cloud services(IDT)[25] JIS Q 0073:2010 リスクマネジメント−用語注記1 リスク分析は,リスク評価(3.67)及びリスク対応(3.72)に関する意思決定の基礎を提供す− “〜することができる”,“〜できる”,“〜し得る”など(can)は,可能性又は実現能力を示す。もつ別の言葉[例えば,狙い(aim),到達点(goal),目標(target)]で表すこともできる。(ISO/IEC/IEEE 15939:2017の3.8を変更。注記1を削除した。)[12] ISO/IEC 27007,Information technology−Security techniques−Guidelines for information security注記2 受容されたリスクは,監視(3.46)及びレビュー(3.58)の対象となる。情報セキュリティインシデント(3.31)を検出し,報告し,評価し,応対し,対処し,更にそこから学[2] ISO/IEC/IEEE 15939:2017,Systems and software engineering−Measurement process(ISO/IEC/IEEE 15939:2017の3.3を変更。注記2を削除した。)注記6 情報セキュリティリスクは,脅威が情報資産のぜい弱性又は情報資産グループのぜい弱性に明示されている,通常暗黙のうちに了解されている又は義務として要求されている,ニーズ又は期待。信頼できる情報コミュニケーションエンティティ(trusted information communication entity)ISMS専門家[information security management system (ISMS) professional]このモデルは,当該分野の専門家が国際的に最新のものとして合意した特性を取り入れている。ISO/IEC− 方針(3.53),目的(3.49)及びこれらを達成するために策定された戦略[4] JIS Q 19011:2012 マネジメントシステム監査のための指針注記 対応国際規格:ISO Guide 73:2009,Risk management−Vocabulary(IDT)テークホルダーとの間で行われる,その事柄についての情報に基づいたコミュニケーション注記 対応国際規格:ISO/IEC 17021,Conformity assessment−Requirements for bodies providing audit注記 ISO/IEC 27005においては,リスクマネジメント全体を示すために“プロセス”(3.54)という注記 状況を明確にするために,点検,監督又は注意深い観察が必要な場合もある。という。)の概要などを示した箇条4以降を削除して編集した日本工業規格である。注記1 事象は,発生が一度以上であることがあり,幾つかの原因をもつことがある。注記2 この規格の対応国際規格及びその対応の程度を表す記号を,次に示す。組織(3.50)が自らの目的を達成しようとする場合の内部環境。注記3 リスクは,起こり得る“事象”(JIS Q 0073:2010の3.5.1.3の定義を参照),“結果”(JIS Q注記1 パフォーマンスは,定量的又は定性的な所見のいずれにも関連し得る。[19] ISO/IEC TR 27016,Information technology−Security techniques−Information security management−パフォーマンス(3.52)を向上するために繰り返し行われる活動。− ISMSファミリ規格内で適用している全ての用語及び定義を対象としてはいない。− ISMSファミリ規格で共通して用いている用語及び定義を対象とする。規格協会(JSA)から,工業標準原案を具して日本工業規格を改正すべきとの申出があり,日本工業標準− ISMSファミリ規格において,新しい用語を定義することを制限するものではない。されていることが,組織及び利害関係者にとって,慣習又は慣行であることを意味する。注記5 ISMSの文脈においては,情報セキュリティリスクは,情報セキュリティ目的に対する不確注記1 対応国際規格では,ISMSの概要に関する記載も含めて規定しているが,JISでは,これに該情報セキュリティガバナンス(governance of information security)組織が自らの目的(3.49)を達成しようとする場合の外部環境。[11] JIS Q 27006 情報技術−セキュリティ技術−情報セキュリティマネジメントシステムの審査及び認− 外部ステークホルダー(3.37)との関係並びに外部ステークホルダーの認知及び価値観継続した情報セキュリティ(3.28)の運用を確実にするためのプロセス(3.54)及び手順。Monitoring, measurement, analysis and evaluation注記1 リスク特定には,リスク源,事象(3.21),それらの原因及び起こり得る結果(3.12)の特定組織(3.50)が管理し,維持するよう要求されている情報,及びそれが含まれている媒体。あり,様々な階層[例えば,戦略的レベル,組織全体,プロジェクト単位,製品ごと,プロ注記 対応国際規格:ISO 19011:2011,Guidelines for auditing management systems(IDT)管理策(3.14)を実施した結果として,達成することを求められる事項を記載したもの。“注記”に記載している情報は,関連する要求事項の内容を理解するための,又は明確にするための手[3] JIS Q 17021 適合性評価−マネジメントシステムの審査及び認証を行う機関に対する要求事項使用する組織及び人,情報を扱う設備,ソフトウェア及び物理的媒体などを意味する。controls based on ISO/IEC 27002 for telecommunications organizationsJTC1(情報技術)/SC 27(セキュリティ技術)には,情報セキュリティのためのマネジメントシステム規注記1 一つのマネジメントシステムは,単一又は複数の分野を取り扱うことができる。あらゆる形態及び規模の組織(例えば,営利企業,政府機関,非営利団体)に適用できる。あらゆる情報処理のシステム,サービス若しくは基盤,又はこれらを収納する物理的場所。一つ又は複数のセキュリティマネジメントシステムプロセス(3.54)を確立し,実施し,維持し,継続 ※ダウンロード商品は除きます。 お客様にはご迷惑をおかけいたしますが予めご了承願います。 工業標準化法改正に伴うjis規格名称変更のお知らせ(2020年6月22日更新) 2020/06/22. 工業標準化法改正に伴うjis
日本規格協会グループ 出版情報ユニット. jis q 9100(航空宇宙) tl 9000(電気通信) iso 13485(医療機器・体外診断用医薬品) iso 14001(環境) iso 50001(エネルギー) iso 45001(労働安全衛生) iso/iec 27001(情報セキュリティ) iso/iec 27017(クラウドサービスセキュリティ) jis q 15001(個人情報保護) ホーム > it企業の実務に役立つ情報 > ソフトウェア工学・標準化・edi > 標準化 > itビジネスに役立つ規格・ガイドライン > 「マネジメントシステム」に役立つガイドライン > iso/iec 27001(jis q 27001)情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項 の用語及び定義の技術的内容を変更することなく作成した国内規格( isms の 概要等を示したiso/iec 27000:2018 の箇条4 以 … 国内規格の発行:2019 年3 月にjis q 27000:2019 として制定された。 jis q 27000:2019 : 情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-用語: iso/iec 27000:2019. jis q 15001は個人情報保護を目的として、さまざまな組織が個人情報を適切に管理するためのマネジメントシステムの要求事項を定めた規格です。jis q 15001に基づいて社内体制を整備することで、効果的かつ効率的な個人情報管理を行うことができます。 2020/07/17; この記事の内容 ISO/IEC 27001 の概要 ISO/IEC 27001 overview. 4 q 27000:2019 注記4 初期の結果が,連鎖によって,段階的に増大することがある。 (jis q 0073:2010の3.6.1.3を変更。