ISO27001用語及び定義に見る情報セキュリティ
ISO 27001:2005規格に記述されている「用語及び定義」では、その表記順序が、BS 7799-2:2002との整合性に配慮し、英語表記のアルファベット順に記載されているため、一見すると脈略無く用語が並んでいるように見えます。
そこで、以下のように「情報セキュリティ」「リスクマネジメント」「マネジメントシステム」と3つに大別して整理すると理解しやすくなります。
■情報セキュリティに関すること
守るべき「(情報)資産」とは? 「情報セキュリティ」(守る)とはどういうことか? 守れない事象と事業などへの影響状況を用語で定義しています。
■リスクマネジメントに関すること
情報セキュリティ対策を実施する上で、情報資産に潜むリスクに対してどのように対処していくかを定義するための用語が書かれています。
■マネジメントシステムに関すること
情報セキュリティの確立、導入、運用、監視、見直し、維持および改善をマネジメントシステム全体として取り組むことを用語として定義するとともに、ISO27001(ISMS)との対比を明確にする宣言書を用語として定義しています。
■情報セキュリティ
情報の不適切な保護は、漏えいや内容が不正確、必要な時に使えない等の業務に支障をきたすといったリスクがあります。「情報セキュリティ」とは、重要な情報をこうしたリスクから守ることです。
■機密性(confidentiality)
認可された者だけが情報にアクセスできることを確実にすること。情報の機密性は、「情報が漏えいしないようにする」ことにより確保されます。
■完全性(integrity)
完全性には、情報が改ざんされないようにするといった情報そのものの完全性の確保と、情報システムが勝手に変更されないようにするといった、情報処理の方法の完全性の確保の二つの意味があります。
■可用性(availability)
認可された利用者が、必要なときに、情報および関連する資産にアクセスできることを確実にすること。「自然災害やシステムダウンなどにより、情報が使えなくなること」に関連します。
■リスクマネジメント
リスクに関して組織を指揮し、管理する調整された活動。リスクとは、「組織の活動の遂行を阻害する事象の発生の可能性」。
■リスクアセスメント
「リスク分析」から「リスク評価」までのプロセス。
■リスク分析
「リスク因子を特定」するための、及び「リスクを算定」するための情報の系統的使用。
■リスク因子
脅威と脆弱性を組み合わせたもの。「暗号化されていない通信(脆弱性)により、引き起こされる情報漏えい(脅威)」がリスク因子となります。
■リスク算定
特定されたリスク因子の発生可能性と、それにより引き起こされる事象の結果を検討すること。「暗号化されていない通信にて引き起こされる情報漏えいにより被る損害」を計算すること。
■リスク評価
リスクの重大さを決定するため、算定されたリスクを与えられたリスク評価基準と比較するプロセス。
■リスク対応
リスクを変更させるための方策を選択および実施するプロセス。詳細は、「4.2.1 f)」に記述。
■残留リスク
リスク対応後にまだ残っているリスク。
■リスク受容
リスク対応後の残留リスクを受容する意思決定のこと。これはリスク評価基準に依存します。
