ISO27001(ISMS)用語集
ISO27001(ISMS)に関連する用語を解説しております。
ISO
International Organization for Standardization/製品サービスなどの世界的な標準化を推進している「国際標準化機構」という団体のこと。略称がIOSではなくISOなのは、ギリシャ語の「ISOS=相等しい」からきており、「相等しい」の意味を通じて、規格の標準化を推進していきたいという願いが込められてい る。
情報セキュリティマネジメント
システム(ISMS)
企業で重要であると判断した情報を守るために、経営トップの立てた方針にしたがって対策を行い、実施状況を確認し改善する組織・仕組みである。
マネジメントレビュー
方針・目標などの当初設定していたものと、実際にマネジメントシステムを運用した状況・結果をトップが定期的に再評価することである。
機密性・完全性・可用性
一言で表すと、機密性とは「情報を漏らさないこと」、完全性とは「情報を改ざんされないこと、間違って使ったりしないこと」、可用性とは「必要なときに(使ってよい人が)使えること」となる。情報セキュリティは、この3つの要素を実現することISO27001では定義されています。ただし3つのどれを重要視するかは企業で判断すべき内容である。
CISO
Chief Information Security Officer の略。ISO27001(ISMS)ではISO9001やISO14001と異なり、管理責任者の配置は必須ではない。しかしながら実際に管理の仕組みを運営していくためには、小規模な企業など以外では実務的な判断を行う責任者を置くことが一般的である。
このとき名称は何でも良いのだが「情報セキュリティ管理責任者」だと名称が長すぎるなどの理由でCISOが好んで使われている。
CISO以外にもCSO(Chief Security Officer)やCPO(Chief Privacy Officer)を配置している企業もある。
リスク
ISO27001(ISMS)の中から参照されている文書(TR Q 0008)によれば、リスクとは事象、発生確率、事象の結果の組み合わせとなっている。つまり「情報セキュリティに関して発生しうる問題」「問題の発生確率」「問題によって発生する損害」をセットで考える概念である。たとえば実際に「リスクが大きい」という表現を使う際には、何が起こることが問題なのか、本当に起きそうなのか、損害が大きそうなのかを含めて話をしていることが多い。
脅威
起きてはならないこと。起こるととても困ること。
たとえば、情報が盗まれる、紛失するなど。
ぜい弱性
起きてはならないこと(脅威)が、起こりやすくなっている部分または状態。
「弱点」と言い換えると理解しやすい。たとえば「情報が盗まれる」という「起きてはならないこと」に対して、事務所が開けっ放し、文書が机の上に出し放し、パソコンはつけっ放しで、知らない人が出入りしていても誰も注意しないという状況は、「弱点がある」あるいは「弱点が多い」などと表現する。
残留リスク
弱点についてどのような対策を行っても、発生可能性ゼロにはならない。
対策を行った後、それでも残っているリスクが「残留リスク」である。
事業継続計画
地震などの天災や大規模なネットワーク障害などの遭遇した際、それまでの業務を中断することなく、もしくは速やかに復旧するために事前に策定する計画を指す。事業継続計画を文書化したものはBCP(Business Continuity Plan)と呼ばれる場合がある。
不適合
要求事項を満たしていないことを意味する。要求事項の意味には、顧客要求・社内要求・法規制要求が含まれるため、これを満たしていないことが不適合である。また、ISO27001(ISMS)の規格を実現できていないことも不適合である。
是正処置
不適合が発生した原因を調査し、再び不適合が発生しないように原因を取り除くことである。したがって、再発防止というほうが分かりやすい。この再発防止を行うにあたっては、「なぜ、起こってしまったのか」真の原因を追求し、効果的な対策を打つことが重要となる。
予防処置
問題が起こる前にあらかじめ先手必勝で対策を打ち、問題の発生を未然に防止することである。
リスクの受容
リスクが存在してもゼロにすることはできない。そのため企業として、どういったリスクを受け入れるかを判断する必要がある。それをリスクの受容という。例えば、リスクが存在していても認識するまでで、それ以上の対策をとらないという判断するという場合などをさす。
