組織が保持しているすべての情報
情報資産
情報資産に損失を与える原因
脅威
情報資産に内在している弱点
脆弱性
組織における情報資産のセキュリティを適切に管理していく仕組み
情報セキュリティマネジメントシステム(ISMS)
ISMSの国際規格
ISO/IEC 27000シリーズ
ISMSの国内規格
JIS Q 27000シリーズ
情報セキュリティの三要素の一つで、許可されたものだけが情報を使用できること
機密性
情報セキュリティの三要素の一つで、情報が正確であり完全であること
完全性
情報セキュリティの三要素の一つで、必要な時に情報を使用すること
可用性
情報セキュリティの3要素に加えることがあるものの一つで、主張する通りの本物であること
真正性
情報セキュリティの3要素に加えることがあるものの一つで、意図した結果が得られること
信頼性
情報セキュリティの3要素に加えることがあるものの一つで、あとで追跡できること
責任追跡性
情報セキュリティの3要素に加えることがあるものの一つで、あとで否定されないこと
否認防止
組織における情報セキュリティの取り組みに対して、ISMS認定基準の評価事項に適合していることを特定の第三者が審査して認定する制度
ISMS適合評価制度
システムの企画・設計段階から、情報セキュリティ対策を組み込んでおこうという考え方
セキュリティバイデザイン
システムの企画、設計段階から、個人情報保護の仕組みを組み込んでおこうという考え方
プライバシーバイデザイン
想定されるリスクを組織的に管理しながら、その損失を最小限に抑える活動
リスクマネジメント
リスクを分析・評価して、あらかじめ設定しておいたリスク需要基準に照らしてリスク対応が必要かどうか判断すること
リスクアセスメント
リスクアセスメントで最初に行う、保護すべき情報資産において組織に存在するリスクを洗い出すこと
リスク特定
リスクアセスメントで2番目に行う、リスクの発生確率と影響度から、リスクの大きさ(リスクレベル)を算定すること。リスクレベルの大きさは、資産価値・脅威・脆弱性の大きさによって決まる
リスク分析
リスクの大きさとリスク受容基準を比較して、リスク対応が必要かどうかを判断する
リスク評価
リスク評価を受けて、実際にどのようなリスク対応を選択するかを決定すること
リスク対応
リスク対応の一つで、リスクの発生確率や大きさを小さくすること
リスクコントロール
リスク対応の一つで、損失を補填するために金銭的な手当てをする方法
リスクファイナンシング
リスクコントロールのうち、リスクの損失額や発生確率を低く抑えること
リスク軽減
リスクコントロールのうち、リスクの原因を除去する
リスク回避
リスクコントロール、リスクファイナンシングの両方に分類される、リスクを第三者へ移転・転嫁する
リスク移転
リスクファイナンシングのうち、影響度が小さいので、許容範囲として保有・受容する
リスク保有
災害などの予期せぬ事態によって、特定の事務が停止、中断した場合に、事業全体に与える影響度を分析、評価すること
ビジネスインパクト分析
組織内の情報セキュリティを確保するための方針や体制、対策等を包括的に定めた文書
情報セキュリティポリシー
情報セキュリティポリシーの最上層で、なぜ対策するか
基本方針
情報セキュリティポリシーの真ん中の層で、何を対策するのか
対策基準
情報セキュリティポリシーの最下層で、どのような対策をするのか
実施手順
組織の長が、情報セキュリティに対する考え方や取り組む姿勢を組織内外に宣言するもの
情報セキュリティ基本方針
経済産業省が策定した、情報セキュリティ基本方針を策定するうえで参考にできるもの
情報セキュリティ管理基準
組織で扱う個人情報の扱い方についての規定
プライバシーポリシー
企業や官公庁などに設けるセキュリティ対策チーム
CSIRT(シーサート)
X
LINE
はてな
アプリ
QRコード
URLコピー