情報処理学会研究報告 IPSJ SIG Technical Report Vol.2015-IS-131 No /3/6 ISMS 関連国際規格における用語定義に関する一考察 永井好和 多田村克己 小河原加久治 情報セキュリティマネジメントシステム (Information Securi

Transcription

1 ISMS 関連国際規格における用語定義に関する一考察 永井好和 多田村克己 小河原加久治 情報セキュリティマネジメントシステム (Information Security Management System;ISMS) に関する国際規格は,ISO/IEC 27001;2013 をはじめとする ISMS ファミリー規格を構成している. 従来, 個別の規格それぞれが使用する用語についてはその規格内において説明や定義がなされていた. 一昨年 (2013 年 ) の ISO/IEC 改訂の際,ISMS ファミリー規格で使用する用語は ISO/IEC に纏められた. 対応する JIS 規格も順次改訂されている. しかしながら, 規格改定時期の差異により, 個別の規格内の用語定義のための記述は残されたままになっている. そこで,ISMS ファミリー規格の定義を ISO/IEC (JIS 規格では JIS Q 27000) のそれと比較したところ,ISO 規格ではごく一部を除いて一致しているが, JIS 規格では異なる定義が見受けられた. 各規格を参照する際に役立てて頂くために, 留意すべき点を中心に調査結果を報告する. A Study on the definition of terms in the international standards about ISMS YOSHIKAZU NAGAI KATUMI TADAMURA KAKUJI OGAWARA The international standards on Information Security Management System (ISMS) on constitute a ISMS family standard from the associated multiple standards including "ISO/IEC ; 2013". Conventionally, the terms used in each standard have been explained and defined in the standard itself. When ISO/IEC was revised in 2013, the terms used in the ISMS family standards were summarized in ISO/IEC Each corresponding JIS standard has also been sequentially revised. However, because of the difference of the timing to revise each standard, the description for the terms defined in separate standards has been left yet. Therefore, We compared the definition of the terms in each standard in the ISMS family standards with those in ISO/IEC 27000(or JIS Q 27000). As the result the definition in each standard was almost as same as that in ISO/IEC 27000, and that in the JIS standards had the same differences. In this paper, we report those differences because some terms should be noted for referring to each standard. 1. はじめに ISO/IEC [1] には ISMS 関連用語の定義が掲載されて いる. 同規格書 0.3 この国際規格の目的 で次の 3 点が明 示されているが, 発行時期が異なる ISMS ファミリー規格 [b] それぞれで定義されている場合, どれが有効なのかについて の判断基準の記載は見つからない. (1) ISMS ファミリー規格で共通して用いている用語及び 定義を対象とする. (2) ISMS ファミリー規格の中で適用している全ての用語 及び定義を対象としているわけではない. (3) 新しい用語を定義することについて,ISMS ファミリ ー規格を制限するものではない. ISO/IEC で定義された用語は ISO/IEC 27001[2] も ISO/IEC 27002[3] で使用される. ところが,ISO/IEC 27003:2010[4],ISO/IEC 27004:2009[5],ISO/IEC 27005[6] 等の他の ISMS ファミリー規格では, その規格内にそれぞれ 用語定義を掲載しているものがある. 日本語訳が相互に異な * 山口大学 Yamaguchi University b この用語は ISO/IEC 27000;2014 対訳版の序文で使われており, 付録 1( 表 1) の項番 1~ 項番 15 迄が, 総合タイトル 情報技術 - セキュリティ技術 の下の ISMS ファミリ規格とされている. る用語が散見され, 矛盾がないのか ( 同じ用語に対して異なる定義がなされていないのか ) 確認が必要と考えられる. 対応する JIS 規格についても同様のことが言える. 以下, 本稿で ISMS ファミリー規格については ISO/IEC を省略し, 単に 番台の数字のみで表記する と他の規格の双方で定義されている用語について調査すべきと考え, 英和対訳版が発行されている 27001~27008 (27003 及び についての対訳版は未発行 ) における英語及び日本語の用語定義について調査した (27003 及び については英語のみ比較 ). その他の ISMS 関連規格を含めた一覧表を付録 1 として添付する. 2. ISMS ファミリー規格書における用語の概況 (1) 27001/27002 従来各規格の第 3 章で記載されていた定義は,2013 年の改定時に の定義におきかえる様, 改訂された. (2) 27003:2010 ISMS を実装するためのガイドラインであるが, 英和対訳版及び JIS 規格は未発行である. 第 3 章 Terms and definition では で与えられる用語 (89 語 ) の内で ISMS project だけが掲載されている. (27000:2009 改訂前規格 と 27001:2005= 改訂前規格で与えられる用語のほかには ISMS project だけが掲載されて 1

2 いる.) (3) I27004:2009 には,18 語が掲載されているが, 全て に掲載されている. しかしながら, measurement 1 語だけ英文原本同士で説明内容が異なる. 日本語訳では, 互いに異なる用語に訳されているのが 5 語, 定義文が相互 に異なるのが 15 語ある. (4) には,18 語が掲載されているが, 全て に掲載されていて 1 語を除いて日本語訳は全て 一致している. しかしながら, リスクレベル (level of risk) 1 語だけは, 従来あった 組合さったリスク ( の大きさ ) という表現が削除されており, 原文の英語により忠実に訳 されている. (5) 27006[7] は,ISMS 認証審査機関 (JIPDEC 等 ) に対 する要求規格である. 本稿では,ISMS 構築する上で留意す べき用語を検討対象としており, 調査対象外とする. (6) 27007[8] では, 第 3 章において ISO 19011[9] 及び で定義される用語を適用する旨記載されているため, ISO と とを比較する.ISO に は 20 語掲載されていて, その内 13 語は に掲載され ていない. 残り 7 語の内, 英語原本での説明文不一致が 1 語, 日本語の説明文不一致が 2 語あるが, 用語の日本語表 記は 7 語全て一致している. 英語原本で不一致となってい るのは management system の説明文であり,ISO で system を使って定義しているのに比べて,27000 では system を使わず説明している. (7) 27008[10] には日本語訳が公表されていない ( もちろ ん対応する JIS 規格も発行されていない ) が, 第 3 章の Terms and definitions に掲載されている 3 語 ( review object, review objective, security implementation standard) は全て に掲載されており, 英語の説明文も一致している. (8) ISO/IEC の原本 ( 英語 ) では, 規格間での相違点は 1 語だ けであるが, 日本語訳では多くが異なる. これを基にした JIS 規格では規格間で用語の定義に差異があることになる. また, 複数ある定義の中でどの定義を優先するかに関する 説明を見つけることは出来ていない. 第 3 章記載の比較結果概要の中で, 日本語訳に差異の多 い 2 つの規格 (27004,27007 の 2 規格 ) における用語の状況 について, 筆者の考察を加えて詳細を説明する. 3. 規格間の用語定義の差異の詳細 における用語 の第 3 章に掲載されている 18 語についての のそれとの比較表を付録 2 として添付しておく. 両規格間の 差異には 3 種類あり, 英語原本における定義の違い, 日本語 用語名の違い, そして定義文日本語訳の違いの 3 種類である. 順に説明する. まず, measurement について国際規格原本における英語 の定義が異なっている.27004:2009 では,process of obtaining information about the effectiveness of ISMS and controls using a measurement method, a measurement function, an analytical model, and decision criteria と説明されているが,27000 では, 単に process to determine a value と定義され,ISMS における意 味について注記として記載されている. 従来の定義が ISMS の効果を評価するための情報獲得プロセスと定義しているの に対し,ISMS における測定方法や判断基準を用いて値を決 めるプロセスとしており,ISMS の有効性評価についてより 定量化を目指すものと解釈できる. 山口大学においては 1 年 間を 1 つの PDCA サイクルと位置付け ISMS を運用している が,C フェーズに位置付けられる内部監査やマネジメントレ ビューで常に話題になるのが,ISMS の有効性評価であった. 管理策ごとの評価に加えて, ISMS そのもの ( あるいは ISMS 全体の )ISMS 適用範囲における業務への有効性評価が話題 になった. 管理策それぞれの有効性を定量的に測定するため の指標を定めることが困難な場合が多く,ISMS 全体の有効 性評価についてもその評価指標の設定は難しい. 利益追求の みが大学の目的ではないところにも要因の一部があると考え られるが, できる限り定量的評価を可能とする管理指標と管 理策を設定することが重要である. このことも用語定義変更 の背景にあるものと考えている. 次に日本語訳に差異がみられる用語がある. 用語そのも のの日本語訳が異なる 5 語の内 3 語が measure の訳語を 測 度 から 測定量 に変更したことによるものである. 他に は 測定単位 を 測定の単位 と一般名詞の組み合わせに しただけの unit of measurement があるが,measurement 定義の 変更に伴うものと考えている. 他に 対象 から 対象物 と変更した object がある.Item を 項目 という日本語訳か ら もの と変更するものであるが, どちらも ものごと と理解することで良いと考える (ISO 19011) における用語 ISO の第 3 章に掲載されている 20 語についての のそれとの比較表を付録 3 として添付しておく.20 語 の内 13 語は には記載されていないが, そのうち 10 語 には audit( 監査 ) の文字が含まれる用語である. 日本語訳で は, 監査基準 監査証拠 監査所見 監査結論 監査依頼者 被監査者 監査員 監査計画 監査プログラム 監査チーム 等, 監査活動に関する用語が並ぶ. 監査のための指針である という特殊性もあるが, や の改正に合わせてこれ ら両規格内の用語定義を に纏めたという経緯から, における用語定義に取り上げられなかったものと推測 できる. 本稿第 1 章の冒頭に記載した様に,27000 の 0.3 こ の国際規格の目的 に明示されている断り書きが必要となる 理由の 1 つであると考えられる. 残りの 3 語 ( guide; 案内役, nonconformity; 不適合,technical expart; 技術専門家 ) もいず れもが監査活動で必要となる用語であり,ISO で定義 された用語を ISMS 運用における監査活動全般において使用 することを想定しており,ISMS ファミリー規格 を通 2

3 して,ISMS 規格における監査に関する用語として定義されているものと考えられる. 4. おわりに ISMS ファミリー規格における用語定義について とその他の規格とを比較し,ISMS ファミリー規格全体では,1 つの用語に対して複数個所にその定義がなされていて注意が必要であることを指摘した. 特に, 各用語の日本語訳が個別の規格によって異なるため, 個別規格に対応する JIS 規格を考える際には,ISO/IEC 規格の原文を参照して正しい意味の把握に努める必要があることも指摘しておきたい. 筆者としては, 規格改訂やその公表の仕方に関して次の点を期待したい. 各規格 ( 英和対訳版や JIS 規格等 ) における日本語訳が複数個ある場合にどれを優先するか ( あるいはどれを有効とするか ) について明示する改訂は急ぐべきであろうと考えている. (1) ISMS ファミリー規格を中心とする ISMS 関連規格全体で使用される用語定義を に纏め, 同一用語に対する定義が1か所のみでなされること. これは ISO 規格にも JIS 規格にも言える. (2) 個別規格の日本語訳を統一し,ISO 規格に対応する JIS 規格間の用語定義上の差異を解消すること. 前項にいう定義の集約がなされれば,27000 に対応する JIS Q の改訂と共に,JIS Q 27000[11] 以外の ISMS 関連 JIS 規格の改訂が同時になされる必要がある. 一方で 政府機関の情報セキュリティ対策のための統一基準群 ( 平成 26 年度版 ) [12] やこれに沿って国立情報学研究所 (NII) から提示されている 高等教育機関の情報セキュリティ対策のためのサンプル規程集 [13] でも情報セキュリティマネジメントや情報セキュリティリスクマネジメントに関する用語の定義がなされており, これらとの整合性確保や統一も望まれる. 本稿が ISMS ファミリー規格を参照なさる方々にとって役立つもことを期待したい. 謝辞 ( 本稿執筆にあたり, 規格書をご提供頂き業務上の 配慮を頂いた山口大学大学情報機構の皆様に, この場を借り て感謝申し上げたい. 参考文献 1) ISO/IEC: 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 概要及び用語 ( 英和対訳版 ), 日本規格協会, 国際規格, ISO/IEC ) ISO/IEC: 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 要求事項 ( 英和対訳版 ), 日本規格協会 INTERNATIONAL STANDARD, ISO/IEC ) ISO/IEC: 情報技術 - セキュリティ技術 - 情報セキュリティ管理策の実践のための規範 ( 英和対訳版 ), 日本規格協会 INTERNATIONAL STANDARD, ISO/IEC ) ISO/IEC:Information technology-security techniques-information security management system implementation guidance, 日本規格協会 INTERNATIONAL STANDARD, ISO/IEC27003:2010 5) ISO/IEC: 情報技術 - セキュリティ技術 - 情報セキュリティマネジメント - 測定 ( 英和対訳版 ), 日本規格協会国際規格,ISO/IEC 27004:2009 6) ISO/IEC: 情報技術 - セキュリティ技術 - 情報セキュリティリスクマネジメント ( 英和対訳版 ), 日本規格協会国際規格,ISO/IEC ) ISO/IEC: 情報技術 - セキュリティ技術 - 情報セキュリティリスクマネジメントシステムの審査及び認証を行う機関に対する要求事項 ( 英和対訳版 ), 日本規格協会国際規格,ISO/IEC ) ISO/IEC: 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム監査のための指針 ( 英和対訳版 ), 日本規格協会国際規格,ISO/IEC ) ISO: マネジメントシステム監査のための指針 ( 英和対訳版 ), 日本規格協会国際規格,ISO ) ISO/IEC:Information technology-security techniques-guidelines for auditors on information security controls, 日本規格協会 TECHNICAL REPORT, ISO/IEC TR ) 日本規格協会 : 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム - 用語,JIS Q ) 情報セキュリティ政策会議 ( 議長 ; 内閣官房長官 ): 政府機関の情報セキュリティ対策のための統一基準群 ( 平成 26 年度版 ), ( アクセス ) 13) 国立情報学研究所, 電子情報通信学会 : 高等教育機関の情報セキュリティ対策のためのサンプル規程集, ( アクセス ) 付録 付録 1 表 1.ISMS 関連規格一覧表 項番 ISO 規格番号 : 発行年 (*2) 規格内容 (*1) ISO 規格名称 ( 対訳版タイトル )(*2) JIS 規格名称 ( 英語タイトル )(*3) JIS 規格番号 : 発行年 (*5) ISO/IEC ISO/IEC ISO/IEC 27001/Cor1 ISMS 規格についての概要と基本用語集 組織の ISMS を認証するための要求事項 情報技術 セキュリティ技術 情報セキュリティマネジメントシステム 概要及び用語 情報技術 セキュリティ技術 情報セキュリティマネジメントシステム 要求事項 Information security management systems -- Overview and vocabulary(*4) Information security management systems -- Requirements ISO/IEC 正誤票 1 ISO/IEC 27001/Cor 1 JIS Q JIS Q ISO/IEC :2005 ISM 実践のための規範 情報技術 セキュリティ技術 情報セキュリティ管理策の実践のための規範 nformation technology -- Security techniques -- Code of practice for information security controls JIS Q ISO/IEC :2010 ISMS 実装ガイド 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステムの実施の手引 Information security management system implementation guidance 3

4 表 1.ISMS 関連規格一覧表 ( 続き ) 項番 ISO 規格番号 : 発行年 (*2) 規格内容 (*1) ISO 規格名称 ( 対訳版タイトル )(*2) JIS 規格名称 ( 英語タイトル )(*3) JIS 規格番号 : 発行年 (*5) 6 ISO/IEC :2009 情報セキュリティの測定 情報技術 - セキュリティ技術 - 情報セキュリティマネジメント - 測定 Information security management -- Measurement 7 ISO/IEC 情報セキュリティのリスクマネジメント 情報技術 セキュリティ技術 情報セキュリティリスクマネジメント Information security risk management 8 9 ISO/IEC ISO/IEC 認証 / 登録プロセスの要求仕様 ISMS 監査の指針 ( 主にマネジメントシステム ) 情報技術 セキュリティ技術 情報セキュリティマネジメントシステムの審査及び認証を行う機関に対する要求事項 情報技術 - セキュリティ技術 - 情報セキュリティマネジメントシステム監査のための指針 Requirements for bodies providing audit and certification of information security management systems nformation technology -- Security techniques -- Guidelines for information security management systems auditing JIS Q ISO/IEC TR ISMS 監査の指針 ( 主にセキュリティ制御 ) 情報技術 - セキュリティ技術 - 情報セキュリティ管理策の監査員のための指針 Guidelines for auditors on information security controls ISO/IEC ISO/IEC :2008 部門間と組織間の通信の ISM ISMS の通信業界への適用に関する手引き (X.1052) 情報技術 - セキュリティ技術 - 部門間及び組織間コミュニケーションのための情報セキュリティマネジメント 情報技術 - セキュリティ技術 - ISO/IEC に基づく電気通信組織のための情報セキュリティマネジメント指針 Information security management for inter-sector and inter-organizational communications Information security management guidelines for telecommunications organizations based on ISO/IEC ISO/IEC ISO/IEC と ISO/IEC の統合 情報技術 - セキュリティ技術 -ISO/IEC 及び ISO/IEC の統合的実施の手引 Guidance on the integrated implementation of ISO/IEC and ISO/IEC ISO/IEC 情報セキュリティガバナンスの枠組み 情報技術 - セキュリティ技術 - 情報技術のガバナンス Governance of information security 15 ISO/IEC TR 金融及び保険サービスセクターに対する ISMS 情報技術 - セキュリティ技術 - 金融サービスのための情報セキュリティマネジメントの指針 Information security management guidelines for financial services 16 ISO/IEC TR 情報技術 - セキュリティ技術 - 情報セキュリティマネジメント - 組織の経済性 Information security management -- Organizational economics 17 ISO/IEC 情報技術 - セキュリティ技術 -PII プロセッサとして作動するパブリッククラウドにおける個人識別情報 (PII) の保護のための実施基準 Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors 18 ISO/IEC TR 報技術 - セキュリティ技術 - エネルギーユーティリティ工業固有のプロセスコントロールシステムのための ISO/IEC に基づく情報セキュリティマネジメメントの指針 Information security management guidelines based on ISO/IEC for process control systems specific to the energy utility industry ISO/IEC ISO/IEC ISO/IEC :2009 ISO/IEC ISO/IEC :2010 ISO/IEC ISO/IEC ISO/IEC ISO/IEC /Cor1 事業連続性のための情報通信技術準備 サイバーセキュリティの手引き 情報技術ネットワークのセキュリティ. 複数の部分から成る規格であり, 現在は ISO/IEC 18028:2007 と呼ばれる. アプリケーションセキュリティの手引き. 第 1 部は 2012 年に発行. 情報技術 - セキュリティ技術 - 事業継続のための情報通信技術の準備態勢に関する指針 情報技術 - セキュリティ技術 - サイバーセキュリティの指針 - 第 1 部 : 概要及び概念 - 第 2 部 : ネットワークセキュリティの設計及び導入の指針 - 第 3 部 : 参照ネットワークシナリオ - 脅威, 設計技法及び制御問題 - 第 4 部 : セキュリティゲートウェイによるネットワーク間通信の安全確保 - 第 5 部 : バーチャルプライベートネットワーク (VPN) を使用するネットワークを介する通信の安全性 情報技術 - セキュリティ技術 - アプリケーションセキュリティ - 第 1 部 : 概要及び概念 ISO/IEC 正誤票 1 Guidelines for information and communication technology readiness for business continuity Guidelines for cybersecurity Network security -- Part 1: Overview and concepts Network security -- Part 2: Guidelines for the design and implementation of network security Network security -- Part 3: Reference networking scenarios -- Threats, design techniques and control issues Network security -- Part 4: Securing communications between networks using security gateways Network security -- Part 5: Securing communications across networks using Virtual Private Networks (VPNs) Application security -- Part 1: Overview and concepts ISO/IEC /Cor 1 4

5 表 1.ISMS 関連規格一覧表 ( 続き ) 項番 28 ISO 規格番号 : 発行年 (*2) ISO/IEC 規格内容 (*1) ISO 規格名称 ( 対訳版タイトル )(*2) JIS 規格名称 ( 英語タイトル )(*3) 情報技術 - セキュリティ技術 - 情報セキュリティインシデントマネジメント Information security incident management JIS 規格番号 : 発行年 (*5) 29 ISO/IEC 情報技術 - セキュリティ技術 - サプライヤリレーションシップの情報セキュリティ - 第 1 部 : 概要及び概念 Information security for supplier relationships -- Part 1: Overview and concepts 30 ISO/IEC 情報技術 - セキュリティ技術 - サプライヤリレーションシップの情報セキュリティ - 第 2 部 : 要求事項 Information security for supplier relationships -- Part 2: Requirements 31 ISO/IEC 情報技術 - セキュリティ技術 - サプライヤリレーションシップの情報セキュリティ - 第 3 部 : 情報及び通信技術サプライチェーンセキュリティの指針 Information security for supplier relationships -- Part 3: Guidelines for information and communication technology supply chain security 32 ISO/IEC 情報技術 - セキュリティ技術 - デジタル証拠の識別, 収集, 取得及び保全の指針 Guidelines for identification, collection, acquisition and preservation of digital evidence 33 ISO/IEC 情報技術 - セキュリティ技術 - デジタル編集の仕様 Specification for digital redaction ISO/IEC :2005 ISO ISO :2008 ISO 健康情報の情報セキュリティ管理 電子健康記録の監査証跡 情報技術 - セキュリティ技法 -IT ネットワークセキュリティ - 第 4 部 : 遠隔アクセスの安全性 マネジメントシステム監査のための指針 IT network security -- Part 4: Securing remote access Guidelines for auditing management systems Risk management リスクマネジメント リスクアセスメント技法 Risk assessment techniques (*1) Wikipedia から (*2)JSA の Web Store から (*3)ISO の Web Store から (*4)ISO/IEC の 0 序文 掲載の ISMS ファミリ規格 (the ISMS family of standards から (*5)JSA の Web Store から ( 対応規格不明 ) JIS Q JIS Q 付録 2 表 2. 用語比較表 (27000:27004) 英語意味 (*1) 同一性 (*2) 日本語意味 (*3) 英語表記 analytical model No. 2.2 フ ンセキモテ ル ISO/IEC ISO/IEC 意味 No. 分析モデル attribute 2.4 ソ クセイ属性 base measure 2.10 キホンソクテイリョウ 基本測定量 data 2.20 テ ータデータ decision criteria derived measure 2.21 ハンタ ンキシ ュン判断基準 2.22 ト ウシュツソクテイリョウ 導出測定量 一つ以上の基本測定量 (2.10) 及び / 又は導出測定量 (2.22) をそれに関連する判断基準と結合するアルゴリズム又は計算 人手又は自動的な手段によって, 定量的又は定性的に識別できる対象物 (2.55) の特性又は特徴 単一の属性 (2.4) とそれを定量化するための方法とで定義した測定量 (2.47) 基本測定量 (2.10), 導出測定量 (2.22) 及び / 又は指標 (2.30) に割り当てられた値の集合 アクション若しくは追加調査の必要性を決めるため又は与えられた結果の信頼度のレベルを記述するために使う, しきい ( 閾 ) 値, 目標又はパターン 複数の基本測定量 (2.10) の値の関数として定義した測定量 (2.47) 3.1 フ ンセキモテ ル 分析モデル 3.2 ソ クセイ属性 3.3 キホンソクト 基本測度 3.4 テ ータデータ 3.5 ハンタ ンキシ ュン判断基準 3.6 ト ウシュツソクト 導出測度 意味 一つ又は複数の基本及び / または導出測度を 関連する判断基準と組み合せるアルゴリズム又は計算 人手又は自動化された手段によって, 定量的又は定性的に識別できる対象の特性又は性質 一つの属性とそれを定量化するための方法とで定義した測度 基本測度, 導出測度及び / 又は指標に割り当てられた値の集合 処置又は追加調査の必要性を決めるため, 若しくは与えられた結果の信頼のレベルを記述するために使う, しきい ( 閾 ) 値, 目標又はパターン 基本測度の二つ又はそれ以上の値の関数として定義される測度 5

6 表 2. 用語比較表 (27000:27004)( 続き ) 同一性 ISO/IEC ISO/IEC 英語意味 (*1) (*2) 日本語意味 (*3) 英語表記 No. indicator 2.30 シヒョウ指標 意味 No. 定義された情報ニーズ (2.31) に関して分析モデル (2.2) から導出した, 特定の属性 (2.4) の見積り又は評価を示す測定量 (2.47) 3.7 シヒョウ指標 意味 定義された情報ニーズに関する分析モデルから導出された, 特定の属性の推定又は評価を示す測度 information need 2.31 シ ョウホウニース 情報ニーズ 目的, 目標, リスク及び問題点を管理するために必要となる見解 3.8 シ ョウホウニース 情報ニーズ 目的, 最終目標, リスク及び問題を管理するために必要となる洞察 measure 2.47 ソクテイリョウ測定量 測定 (2.48) の結果として値が割り当てられる変数 3.9 ソクト 測度 測定の結果として値が割り当てられる変数 measurement 2.48 ソクテイ測定 値を決定するプロセス (2.61) 3.10 ソクテイ測定 測定方法, 測定関数, 分析モデル及び判断基準を用いて,ISMS 及び管理策の有効性に関する情報を得るプロセス measurement function 2.49 ソクテイノカンスウ測定の関数 複数の基本測定量 (2.10) を結合するために遂行するアルゴリズム又は計算 3.11 ソクテイノカンスウ測定関数 二つまたはそれ以上の基本測度合を組み合わせるために遂行するアルゴリズム又は計算 measurement method 2.50 ソクテイホウホウ測定方法 特定の尺度 (2.80) に関して属性 (2.4) を定量化するために使う一連の操作の論理的な順序を一般的に記述したもの 3.12 ソクテイホウホウ測定方法 総称的に記述された一連の論理的操作で, 特定された尺度に関して属性を定量化するために使うもの measurement results 2.51 ソクテイケッカ測定結果 情報ニーズ (2.31) を取り扱う, 一つ以上の指標 (2.30) 及びそれに関連する解釈 3.13 ソクテイケッカ測定結果 情報ニーズを取り扱う一つ又は複数の指標及びそれに関連する解釈 object 2.55 タイショウフ ツ対象物 属性 (2.4) の測定 (2.48) を通して特徴付けられるもの 3.14 タイショウ対象 その属性の測定を通して特性付けられた項目 scale 2.8 シャクト 尺度 連続的若しくは離散的な値の順序集合又は分類の集合で, それに属性 (2.4) を対応付けるもの 3.15 シャクト 尺度 該当属性を写像する, 連続的若しくは離散的な値の順序集合又はカテゴリー ( 分類 ) の集合 unit of measurement 2.86 ソクテイノタンイ測定の単位 取決め又は慣習に従って定義し採用した特別の量で, 同じ種類の他の量をそれと比較することによって, その量の相対的な大きさを表現するためのもの 3.16 ソクテイタンイ測定単位 規約により定義し採用した特別の量で, 同じ種類の他の量をこれと比較することによって, その大きさをこの量に対して相対的に表現するためのもの validation 2.87 タ トウセイカクニン 妥当性確認 客観的証拠を提示することによって, 特定の意図された用途又は適用に関する要求事項が満たされていることを確認すること 3.17 タ トウセイカクニン 妥当性確認 客観的証拠を提示することによって, 特定の意図された用途又は適用に関する要求事項が満たされていることを確認すること verification 2.88 ケンショウ検証 客観的証拠を提示することによって, 規程要求事項が満たされていることを確認すること 3.18 ケンショウ検証 客観的証拠を提示することによって, 規程要求事項が満たされていることを確認すること (*1) ISO/IEC においては 説明文中で使用する用語についてその定義を記載している項番が ( ) を付けて付記されている ISO/IEC の説明文にそれがなくても 英文自体が同じであれば 同一 としている また あってもその項番は同一性の判断では無視した note の内容については比較していない (note は異なっていても 説明文がおなじであれば 同一用語と判定している (*2) 全く同じ文字列の場合のみ ; 同一 とした (*3) ISO/IEC においては 説明文は が付されているが ISO/IEC の説明文にそれがなくても 和文自体が同じであれば 同一 としている 注記の内容については比較していない ( 注記の内容が異なっていても 説明文がおなじであれば 同一用語と判定していることになる ) 6

7 付録 3 表 3. 用語比較表 (27000:ISO 19011) 同一性 (*4) ISO/IEC ISO 英語意味 (*1) (*2) 日本語意味 (*3) 英語表記 No. audit 2.5 カンサ監査 意味 監査基準が満たされている程度を判定するために, 監査証拠を収集し, それを客観的に評価するための, 体系的で, 独立し, 文書化したプロセス (2.61) No. 3.1 カンサ監査 audit criteria 記載無し 3.2 カンサキシ ュン監査基準 意味 監査基準 (3.2) が満たされている程度を判定するために, 監査証拠 (3.3) を収集し, それを客観的に評価するための, 体系的で, 独立し, 文書化されたプロセス 監査証拠 (3.3) と比較する基準として用いる一種の方針, 手順又は要求事項. audit evidence 記載無し 3.3 カンサショウコ監査証拠 監査基準 (3.2) に関連し, かつ, 検証できる, 記録, 事実の記述又はその他の情報. audit findings 記載無し 3.4 カンサショケン監査所見 収集された監査証拠 (3.3) を, 監査基準 (3.2) に対して評価した結果. audit conclusion 記載無し 3.5 カンサケツロン監査結論 監査目的及び監査所見 (3.4) を考慮したうえでの, 監査 (3.1) の結論 audit client 記載無し 3.6 カンサイライシャ監査依頼者 監査 (3.1) を要請する組織又は人. audittee 記載無し 3.7 ヒカンサシャ被監査者監査される組織 auditor 記載無し 3.8 カンサイン監査員監査 (3.1) を行う人. audit plan 記載無し 3.15 カンサケイカク監査計画 audit programme audit scope 2.6 カンサハンイ監査範囲 記載無し 3.13 カンサフ ロク ラム 監査 (2.5) の及ぶ領域及び境界 監査プログラム 3.14 カンサハンイ監査範囲 audit team 記載無し 3.9 カンサチーム監査チーム competence 2.11 リキリョウ力量 意図した結果を達成するために, 知識及び技能を適用する能力 3.17 リキリョウ力量 監査 (3.1) のための活動及び手配事項を示すもの. 特定の目的に向けた, 決められた期間内で実行するように計画された一連の監査 (3.1) の取り決め. 監査 (2.5) の及ぶ領域及び境界 監査 (3.1) を行う一人又は複数の監査員 (3.8). 必要な場合は, 技術専門家 (3.10) による支援を受ける. 意図した結果を達成するために, 知識及び技能を適用する能力 conformity 2.13 テキコ ウ適合 要求事項 (2.63) を満たしていること guide 記載無し 3.12 アンナイヤク案内役 management system 2.46 マネシ メントシステム マネジメントシステム (*5) nonconformity 2.53 フテキコ ウ不適合 方針 (2.60), 目的 (2.56) 及びその目的を達成するためのプロセス (2.61) を確立するための, 相互に関連する又は相互に作用する, 組織 (2.57) の一連の要素 要求事項 (2.63) を満たしていないこと 3.18 テキコ ウ適合要求事項を満たしていること 3.20 マネシ メントシステム マネジメントシステム 3.19 フテキコ ウ不適合 observer 記載無し 3.11 オフ サ ーハ オブザーバ risk 2.68 リスクリスク technical expart 目的に対する不確かさの影響 記載無し 3.10 監査チーム (3.9) を手助けするために, 被監査者 (3.7) によって指名された人. 方針 (2.60), 目的 (2.56) 及びその目的を達成するためのプロセス (2.61) を確立するための, 相互に関連する又は相互に作用する, 組織 (2.57) の一連の要素 要求事項を満たしていないこと 監査チーム (3.9) に同行するが, 監査は行わない人 3.16 リスクリスク目的に対する不確かさの影響 キ シ ュツセンモンカ 技術専門家 監査チーム (3.9) に特定の知識又は専門的技術を提供する人. 7

8 ISMS 関連国際規格における用語定義に関する一考察 < 正誤表 > 永井好和 多田村克己 小河原加久治 A Study on the definition of terms in the international standards about ISMS <Errata sheet> YOSHIKAZU NAGAI KATUMI TADAMURA KAKUJI OGAWARA 項番 訂正個所 訂正内容 章頁 / 左右 / 行誤正 1 1 1/ 左 /3 行目 ISMS ファミリー規格 [b] ISMS ファミリー規格 [a] 2 1 1/ 左 / 注釈 b この用語 a この用語 3 2 1/ 右 / 下から2 行目 27001:2005= 改訂前規格 27001:2005 改訂前規格 4 2 2/ 左 /2 行目 (3) I27004:2009 (3) 27004: / 左 / 本文最終行 立つもことを 立つことを 6 付録 1 3/ 表項番 4 ISO/IEC 27002:2005 ISO/IEC c2015 Information Processing Society of Japan