ISMS関連国際規格における用語定義に関する一考察
8
0
0
全文
(2) 情報処理学会研究報告 IPSJ SIG Technical Report いる. ) (3) I27004:2009 には ,18 語が掲載されているが ,全て. Vol.2015-IS-131 No.6 2015/3/6. information about the effectiveness of ISMS and controls using a measurement method, a measurement function, an analytical model,. 27000:2014 に掲載されている. しかしながら, 「measurement」. and decision criteria と説明されているが,27000:2014 では,. 1 語だけ英文原本同士で説明内容が異なる. 日本語訳では,. 単に process to determine a value と定義され,ISMS における意. 互いに異なる用語に訳されているのが 5 語,定義文が相互. 味について注記として記載されている.従来の定義が ISMS. に異なるのが 15 語ある.. の効果を評価するための情報獲得プロセスと定義しているの. (4) 27005:2011 に は , 18 語 が 掲 載 さ れ て い る が , 全 て. に対し,ISMS における測定方法や判断基準を用いて値を決. 27000:2014 に掲載されていて 1 語を除いて日本語訳は全て. めるプロセスとしており,ISMS の有効性評価についてより. 一致している.しかしながら, 「リスクレベル(level of risk) 」. 定量化を目指すものと解釈できる.山口大学においては 1 年. 1 語だけは,従来あった「組合さったリスク(の大きさ) 」. 間を 1 つの PDCA サイクルと位置付け ISMS を運用している. という表現が削除されており,原文の英語により忠実に訳. が,C フェーズに位置付けられる内部監査やマネジメントレ. されている.. ビューで常に話題になるのが, ISMS の有効性評価であった.. (5) 27006:2011[7]は,ISMS 認証審査機関(JIPDEC 等)に対. 管理策ごとの評価に加えて, ISMS そのもの(あるいは ISMS. する要求規格である.本稿では,ISMS 構築する上で留意す. 全体の)ISMS 適用範囲における業務への有効性評価が話題. べき用語を検討対象としており,調査対象外とする.. になった.管理策それぞれの有効性を定量的に測定するため. (6) 27007:2011[8]では,第 3 章において ISO 19011:2011[9]及び. の指標を定めることが困難な場合が多く,ISMS 全体の有効. 27000 で定義される用語を適用する旨記載されているため,. 性評価についてもその評価指標の設定は難しい.利益追求の. ISO 19011:2011 と 27000:2014 とを比較する.ISO 19011 に. みが大学の目的ではないところにも要因の一部があると考え. は 20 語掲載されていて,その内 13 語は 27000 に掲載され. られるが,できる限り定量的評価を可能とする管理指標と管. ていない.残り 7 語の内,英語原本での説明文不一致が 1. 理策を設定することが重要である.このことも用語定義変更. 語,日本語の説明文不一致が 2 語あるが,用語の日本語表. の背景にあるものと考えている.. 記は 7 語全て一致している.英語原本で不一致となってい. 次に日本語訳に差異がみられる用語がある.用語そのも. るのは「management system」の説明文であり,ISO 19011. のの日本語訳が異なる 5 語の内 3 語が measure の訳語を「測. で「system」を使って定義しているのに比べて,27000 では. 度」から「測定量」に変更したことによるものである.他に. 「system」を使わず説明している.. は「測定単位」を「測定の単位」と一般名詞の組み合わせに. (7) 27008:2011[10]には日本語訳が公表されていない(もちろ. しただけの unit of measurement があるが,measurement 定義の. ん対応する JIS 規格も発行されていない)が,第 3 章の. 変更に伴うものと考えている.他に「対象」から「対象物」. 「Terms and definitions」 に掲載されている 3 語 (review object,. と変更した object がある.Item を「項目」という日本語訳か. review objective, security implementation standard )は全て. ら「もの」と変更するものであるが,どちらも「ものごと」. 27000 に掲載されており,英語の説明文も一致している.. と理解することで良いと考える.. (8) ISO/IEC の原本(英語)では,規格間での相違点は 1 語だ けであるが,日本語訳では多くが異なる.これを基にした JIS 規格では規格間で用語の定義に差異があることになる.. 3.2 27007(ISO 19011)における用語 ISO 19011 の第 3 章に掲載されている 20 語についての. また,複数ある定義の中でどの定義を優先するかに関する. 27000 のそれとの比較表を付録 3 として添付しておく.20 語. 説明を見つけることは出来ていない.. の内 13 語は 27000 には記載されていないが,そのうち 10 語 には audit(監査)の文字が含まれる用語である.日本語訳で. 第 3 章記載の比較結果概要の中で,日本語訳に差異の多. は,監査基準・監査証拠・監査所見・監査結論・監査依頼者・. い 2 つの規格(27004,27007 の 2 規格)における用語の状況. 被監査者・監査員・監査計画・監査プログラム・監査チーム. について,筆者の考察を加えて詳細を説明する.. 等,監査活動に関する用語が並ぶ.監査のための指針である という特殊性もあるが, 27001 や 27002 の改正に合わせてこれ. 3. 規格間の用語定義の差異の詳細 3.1 27004 における用語. ら両規格内の用語定義を 27000 に纏めたという経緯から, 27000 における用語定義に取り上げられなかったものと推測 できる.本稿第 1 章の冒頭に記載した様に,27000 の「0.3 こ. 27004 の第 3 章に掲載されている 18 語についての 27000. の国際規格の目的」に明示されている断り書きが必要となる. のそれとの比較表を付録 2 として添付しておく.両規格間の. 理由の1つであると考えられる.残りの 3 語(guide;案内役,. 差異には 3 種類あり,英語原本における定義の違い,日本語. nonconformity;不適合,technical expart;技術専門家)もいず. 用語名の違い, そして定義文日本語訳の違いの 3 種類である.. れもが監査活動で必要となる用語であり,ISO 19011 で定義. 順に説明する.. された用語を ISMS 運用における監査活動全般において使用. まず, 「measurement」について国際規格原本における英語. することを想定しており,ISMS ファミリー規格 27007 を通. の定義が異なっている.27004:2009 では,process of obtaining. ⓒ 2015 Information Processing Society of Japan. 2.
(3) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2015-IS-131 No.6 2015/3/6. して,ISMS 規格における監査に関する用語として定義され ているものと考えられる.. 謝辞 (本稿執筆にあたり,規格書をご提供頂き業務上の 配慮を頂いた山口大学大学情報機構の皆様に,この場を借り て感謝申し上げたい.. 4. おわりに. 参考文献. ISMS ファミリー規格における用語定義について 27000 と その他の規格とを比較し,ISMS ファミリー規格全体では,1 つの用語に対して複数個所にその定義がなされていて注意が 必要であることを指摘した.特に,各用語の日本語訳が個別 の規格によって異なるため,個別規格に対応する JIS 規格を 考える際には,ISO/IEC 規格の原文を参照して正しい意味の 把握に努める必要があることも指摘しておきたい. 筆者としては,規格改訂やその公表の仕方に関して次の点 を期待したい.各規格(英和対訳版や JIS 規格等)における 日本語訳が複数個ある場合にどれを優先するか(あるいはど れを有効とするか)について明示する改訂は急ぐべきであろ うと考えている. (1) ISMS ファミリー規格を中心とする ISMS 関連規格全体 で使用される用語定義を 27000 に纏め,同一用語に対 する定義が1か所のみでなされること.これは ISO 規 格にも JIS 規格にも言える. (2) 個別規格の日本語訳を統一し,ISO 規格に対応する JIS 規格間の用語定義上の差異を解消すること.前項にい う定義の集約がなされれば,27000 に対応する JIS Q 27000 の改訂と共に,JIS Q 27000:2014[11]以外の ISMS 関連 JIS 規格の改訂が同時になされる必要がある. 一方で「政府機関の情報セキュリティ対策のための統一基 準群(平成 26 年度版) 」[12]やこれに沿って国立情報学研究 所(NII)から提示されている「高等教育機関の情報セキュリテ ィ対策のためのサンプル規程集」[13]でも情報セキュリティ マネジメントや情報セキュリティリスクマネジメントに関す る用語の定義がなされており,これらとの整合性確保や統一 も望まれる. 本稿が ISMS ファミリー規格を参照なさる方々にとって役. 1) ISO/IEC:情報技術-セキュリティ技術-情報セキュリティマネジ メントシステム-概要及び用語(英和対訳版) ,日本規格協会,国際規 格, ISO/IEC27000:2014 2) ISO/IEC:情報技術-セキュリティ技術-情報セキュリティマネジ メントシステム-要求事項(英和対訳版) ,日本規格協会 INTERNATIONAL STANDARD, ISO/IEC27001:2013 3) ISO/IEC:情報技術-セキュリティ技術-情報セキュリティ管理策 の実践のための規範(英和対訳版) ,日本規格協会 INTERNATIONAL STANDARD, ISO/IEC27002:2013 4) ISO/IEC:Information technology-Security techniques-Information security management system implementation guidance,日本規格協会 INTERNATIONAL STANDARD, ISO/IEC27003:2010 5) ISO/IEC:情報技術-セキュリティ技術-情報セキュリティマネジ メント-測定(英和対訳版) ,日本規格協会国際規格,ISO/IEC 27004:2009 6) ISO/IEC:情報技術-セキュリティ技術-情報セキュリティリスク マネジメント(英和対訳版) ,日本規格協会国際規格,ISO/IEC 27005:2011 7) ISO/IEC:情報技術-セキュリティ技術-情報セキュリティリスク マネジメントシステムの審査及び認証を行う機関に対する要求事項 (英和対訳版) ,日本規格協会国際規格,ISO/IEC 27006:2011 8) ISO/IEC:情報技術-セキュリティ技術-情報セキュリティマネジ メントシステム監査のための指針(英和対訳版) ,日本規格協会国際 規格,ISO/IEC 27007:2011 9) ISO:マネジメントシステム監査のための指針(英和対訳版) ,日 本規格協会国際規格,ISO 19011:2011 10) ISO/IEC:Information technology-Security techniques-Guidelines for auditors on information security controls,日本規格協会 TECHNICAL REPORT, ISO/IEC TR 27008:2011 11) 日本規格協会:情報技術-セキュリティ技術-情報セキュリテ ィマネジメントシステム-用語,JIS Q 27000:2014 12) 情報セキュリティ政策会議(議長;内閣官房長官) :政府機関の 情報セキュリティ対策のための統一基準群(平成 26 年度版) , http://www.nisc.go.jp/active/general/kijun26.html (2015.1.27 アクセス) 13) 国立情報学研究所,電子情報通信学会:高等教育機関の情報セ キュリティ対策のためのサンプル規程集, http://www.nii.ac.jp/csi/sp/doc/sp-sample (2015.1.27.アクセス). 立つもことを期待したい.. 付録 付録 1 項 番. 表1.ISMS 関連規格一覧表 ISO 規格番号 :発行年 (*2). 規格内容(*1). ISO 規格名称(対訳版タイトル)(*2). JIS 規格名称(英語タイトル)(*3) Information technology -- Security techniques -Information security management systems -Overview and vocabulary(*4) Information technology -- Security techniques -Information security management systems -Requirements. JIS 規格番号 :発行年(*5). 1. ISO/IEC 27000 :2014. ISMS 規格について の概要と基本用語集. 情報技術―セキュリティ技術― 情報セキュリティマネジメントシステム―概要及び用語. 2. ISO/IEC 27001 :2013. 組織の ISMS を認証 するための要求事項. 情報技術―セキュリティ技術― 情報セキュリティマネジメントシステム―要求事項. 3. ISO/IEC 27001:2013/Cor1 :2014. (掲載無し). ISO/IEC 27001:2013 正誤票 1:2014. ISO/IEC 27001:2013/Cor 1:2014. 4. ISO/IEC 27002 :2005. ISM 実践のための 規範. 情報技術―セキュリティ技術― 情報セキュリティ管理策の実践のための規範. nformation technology -- Security techniques -Code of practice for information security controls. JIS Q 27002 :2014. 5. ISO/IEC 27003 :2010. ISMS 実装ガイド. 情報技術-セキュリティ技術-情報セキュリティマネジメ ントシステムの実施の手引 (邦訳版なし ). Information technology -- Security techniques -Information security management system implementation guidance. (未発行). ⓒ 2015 Information Processing Society of Japan. JIS Q 27000 :2014 JIS Q 27001 :2014. 3.
(4) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2015-IS-131 No.6 2015/3/6. 表1.ISMS 関連規格一覧表(続き) 項 番. ISO 規格番号 :発行年 (*2). 規格内容(*1). ISO 規格名称(対訳版タイトル)(*2). JIS 規格名称(英語タイトル)(*3). JIS 規格番号 :発行年(*5). 6. ISO/IEC 27004 :2009. 情報セキュリティの測 定. 情報技術-セキュリティ技術-情報セキュリティマネジメ ント-測定. Information technology -- Security techniques -Information security management -- Measurement. (未発行). 7. ISO/IEC 27005 :2011. 情報セキュリティのリ スクマネジメント. 情報技術―セキュリティ技術―情報セキュリティリスクマ ネジメント. Information technology -- Security techniques -Information security risk management. (未発行). 8. ISO/IEC 27006 :2011. 認証/登録プロセス の要求仕様. 情報技術―セキュリティ技術― 情報セキュリティマネジメントシステムの審査及び認証を 行う機関に対する要求事項. Information technology -- Security techniques -Requirements for bodies providing audit and certification of information security management systems. JIS Q 27006 :2012. 9. ISO/IEC 27007 :2011. ISMS 監査の指針 (主にマネジメントシ ステム). 情報技術-セキュリティ技術-情報セキュリティマネジメ ントシステム監査のための指針. nformation technology -- Security techniques -Guidelines for information security management systems auditing. (未発行). 10. ISO/IEC TR 27008 :2011. ISMS 監査の指針 (主にセキュリティ制 御). 情報技術-セキュリティ技術-情報セキュリティ管理策 の監査員のための指針 (邦訳版なし ). Information technology -- Security techniques -Guidelines for auditors on information security controls. (未発行). 11. ISO/IEC 27010 :2012. 部門間と組織間の通 信の ISM. 情報技術-セキュリティ技術-部門間及び組織間コミュ ニケーションのための情報セキュリティマネジメント (邦訳版なし ). Information technology -- Security techniques -Information security management for inter-sector and inter-organizational communications. (未発行). 12. ISO/IEC 27011 :2008. ISMS の通信業界へ の適用に関する手引 き (X.1052). 情報技術 -セキュリティ技術- ISO/IEC 27002 に基づく 電気通信組織のための情報セキュリティマネジメント指 針. Information technology -- Security techniques -Information security management guidelines for telecommunications organizations based on ISO/IEC 27002. (未発行). 13. ISO/IEC 27013 :2012. ISO/IEC 20000-1 と ISO/IEC 27002 の統 合. 情報技術-セキュリティ技術-ISO/IEC 27001 及び ISO/IEC 20000-1 の統合的実施の手引 (邦訳版なし ). Information technology -- Security techniques -Guidance on the integrated implementation of ISO/IEC 27001 and ISO/IEC 20000-1. (未発行). 14. ISO/IEC 27014 :2013. 情報セキュリティガバ ナンスの枠組み. 情報技術-セキュリティ技術-情報技術のガバナンス (邦訳版なし ). Information technology -- Security techniques -Governance of information security. (未発行). 15. ISO/IEC TR 27015 :2012. 金融及び保険サービ スセクターに対する ISMS. 情報技術-セキュリティ技術-金融サービスのための情 報セキュリティマネジメントの指針 (邦訳版なし ). Information technology -- Security techniques -Information security management guidelines for financial services. (未発行). 16. ISO/IEC TR 27016 :2014. (掲載無し). 情報技術-セキュリティ技術-情報セキュリティマネジメ ント-組織の経済性 (邦訳版なし ). Information technology -- Security techniques -Information security management -- Organizational economics. (未発行). 17. ISO/IEC 27018 :2014. (掲載無し). 情報技術-セキュリティ技術-PII プロセッサとして作動 するパブリッククラウドにおける個人識別情報(PII)の保護 のための実施基準 (邦訳版なし ). Information technology -- Security techniques -Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors. (未発行). 18. ISO/IEC TR 27019 :2013. (掲載無し). 報技術-セキュリティ技術-エネルギーユーティリティ工 業固有のプロセスコントロールシステムのための ISO/IEC 27002 に基づく情報セキュリティマネジメメントの 指針 (邦訳版なし ). Information technology -- Security techniques -Information security management guidelines based on ISO/IEC 27002 for process control systems specific to the energy utility industry. (未発行). 19. ISO/IEC 27031 :2011. 事業連続性のための 情報通信技術準備. 情報技術-セキュリティ技術-事業継続のための情報 通信技術の準備態勢に関する指針. Information technology -- Security techniques -Guidelines for information and communication technology readiness for business continuity. (未発行). 20. ISO/IEC 27032:2012. サイバーセキュリティ の手引き. 情報技術-セキュリティ技術-サイバーセキュリティの 指針 (邦訳版なし ). Information technology -- Security techniques -Guidelines for cybersecurity. (未発行). 21. ISO/IEC 27033-1 :2009. 情報技術-セキュリティ技術-ネットワークセキュリティ -第 1 部:概要及び概念 (邦訳版なし ). Information technology -- Security techniques -Network security -- Part 1: Overview and concepts. (未発行). 22. ISO/IEC 27033-2 :2012. 情報技術-セキュリティ技術-ネットワークセキュリティ -第 2 部:ネットワークセキュリティの設計及び導入の指 針 (邦訳版なし ). Information technology -- Security techniques -Network security -- Part 2: Guidelines for the design and implementation of network security. (未発行). 23. ISO/IEC 27033-3 :2010. 情報技術-セキュリティ技術-ネットワークセキュリティ -第 3 部:参照ネットワークシナリオ-脅威,設計技法及 び制御問題 (邦訳版なし ). Information technology -- Security techniques -Network security -- Part 3: Reference networking scenarios -- Threats, design techniques and control issues. (未発行). 24. ISO/IEC 27033-4 :2014. 情報技術-セキュリティ技術-ネットワークセキュリティ -第 4 部:セキュリティゲートウェイによるネットワーク間 通信の安全確保 (邦訳版なし ). Information technology -- Security techniques -Network security -- Part 4: Securing communications between networks using security gateways. (未発行). 25. ISO/IEC 27033-5 :2013. 情報技術-セキュリティ技術-ネットワークセキュリティ -第 5 部:バーチャルプライベートネットワーク(VPN)を使 用するネットワークを介する通信の安全性 (邦訳版なし ). Information technology -- Security techniques -Network security -- Part 5: Securing communications across networks using Virtual Private Networks (VPNs). (未発行). 26. ISO/IEC 27034-1 :2011. 情報技術-セキュリティ技術-アプリケーションセキュリ ティ-第 1 部:概要及び概念 (邦訳版なし ). Information technology -- Security techniques -Application security -- Part 1: Overview and concepts. (未発行). 27. ISO/IEC 27034-1:2011/Cor1 :2014. ISO/IEC 27034-1:2011 正誤票 1:2014 (邦訳版なし ). ISO/IEC 27034-1:2011/Cor 1:2014. (未発行). 情報技術ネットワー クのセキュリティ.複 数の部分から成る規 格であり,現在は ISO/IEC 18028:2007 と呼ばれる.. アプリケーションセキ ュリティの手引き. 第 1 部は 2012 年に 発行.. ⓒ 2015 Information Processing Society of Japan. 4.
(5) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2015-IS-131 No.6 2015/3/6. 表1.ISMS 関連規格一覧表(続き) 項 番. ISO 規格番号 :発行年 (*2). 規格内容(*1). ISO 規格名称(対訳版タイトル)(*2). JIS 規格名称(英語タイトル)(*3). JIS 規格番号 :発行年(*5). 28. ISO/IEC 27035 :2011. (掲載無し). 情報技術-セキュリティ技術-情報セキュリティインシデ ントマネジメント (邦訳版なし ). Information technology -- Security techniques -Information security incident management. (未発行). 29. ISO/IEC 27036-1 :2014. (掲載無し). 情報技術-セキュリティ技術-サプライヤリレーションシ ップの情報セキュリティ-第 1 部:概要及び概念 (邦訳版なし ). Information technology -- Security techniques -Information security for supplier relationships -Part 1: Overview and concepts. (未発行). 30. ISO/IEC 27036-2 :2014. (掲載無し). 情報技術-セキュリティ技術-サプライヤリレーションシ ップの情報セキュリティ-第 2 部:要求事項 (邦訳版なし ). Information technology -- Security techniques -Information security for supplier relationships -Part 2: Requirements. (未発行). 31. ISO/IEC 27036-3 :2013. (掲載無し). 情報技術-セキュリティ技術-サプライヤリレーションシ ップの情報セキュリティ-第 3 部:情報及び通信技術サ プライチェーンセキュリティの指針 (邦訳版なし ). Information technology -- Security techniques -Information security for supplier relationships -Part 3: Guidelines for information and communication technology supply chain security. (未発行). 32. ISO/IEC 27037 :2012. (掲載無し). 情報技術-セキュリティ技術-デジタル証拠の識別,収 集,取得及び保全の指針 (邦訳版なし ). Information technology -- Security techniques -Guidelines for identification, collection, acquisition and preservation of digital evidence. (未発行). 33. ISO/IEC 27038 :2014. (掲載無し). 情報技術-セキュリティ技術-デジタル編集の仕様 (邦訳版なし ). Information technology -- Security techniques -Specification for digital redaction. (未発行). 34. ISO/IEC 18028-4 :2005. 情報技術-セキュリティ技法-IT ネットワークセキュリテ ィ-第 4 部:遠隔アクセスの安全性 (邦訳版なし ). Information technology -- Security techniques -IT network security -- Part 4: Securing remote access. (対応規格不 明). マネジメントシステム監査のための指針. Guidelines for auditing management systems. JIS Q 19011 :2012. リスクマネジメント―リスクアセスメント技法. Risk management -Risk assessment techniques. JIS Q 31010 :2012. 35 36 37. ISO 19011 :2011 ISO 27799 :2008. 健康情報の情報セキ ュリティ管理. ISO 27789 :2013. 電子健康記録の監 査証跡. 38. (*1) Wikipedia から ・・・ http://ja.wikipedia.org/wiki/ISO/IEC_27000_%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA (*2)JSA の Web Store から (*3)ISO の Web Store から (*4)ISO/IEC 27000 の「0 序文」掲載の ISMS ファミリ規格(the ISMS family of standards」から (*5)JSA の Web Store から. 付録 2. 表 2.用語比較表(27000:27004). 同一性 英 語 意 味 (*1). 日 本 語 表 記 (*2). ISO/IEC 27000 日 本 語 意 味 (*3). 英語表記 No.. 日本語 読み仮名. 日本語表記. No.. 日本語 読み仮名. 一つ以上の基本測定量 (2.10)及び/又は導出測 定量(2.22)をそれに関連 する判断基準と結合する アルゴリズム又は計算。. 3.1. ブンセキモデル. 分析 モデル. 一つ又は複数の基本及び/ または導出測度を、関連する 判断基準と組み合せるアル ゴリズム又は計算. 日本語表記. 意味. ○. ○. ×. ○. ○. ×. attribute. 2.4. ゾクセイ. 属性. 人手又は自動的な手段に よって,定量的又は定性 的に識別できる対象物 (2.55)の特性又は特徴。. 3.2. ゾクセイ. 属性. 人手又は自動化された手段 によって,定量的又は定性的 に識別できる対象の特性又 は性質. ○. ×. ×. base measure. 2.10. キホンソクテイリョ ウ. 基本 測定量. 単一の属性(2.4)とそれを 定量化するための方法と で定義した測定量(2.47)。. 3.3. キホンソクド. 基本測度. 一つの属性とそれを定量化 するための方法とで定義した 測度. ○. ○. ×. data. 2.20. データ. データ. 基本測定量(2.10),導出 測定量(2.22)及び/又は 指標(2.30)に割り当てら れた値の集合。. 3.4. データ. データ. 基本測度,導出測度及び/ 又は指標に割り当てられた 値の集合。. 3.5. ハンダンキジュン. 判断基準. 処置又は追加調査の必要性 を決めるため,若しくは与え られた結果の信頼のレベル を記述するために使う,しき い(閾)値,目標又はパターン. 3.6. ドウシュツソクド. 導出測度. 基本測度の二つ又はそれ以 上の値の関数として定義され る測度. ○. ○. ×. ○. ×. ×. derived measure. ブンセキモデル. 意味. analytical model. decision criteria. 2.2. 分析 モデル. ISO/IEC 27004. 2.21. ハンダンキジュン. 判断基準. アクション若しくは追加調 査の必要性を決めるため 又は与えられた結果の信 頼度のレベルを記述する ために使う,しきい(閾) 値,目標又はパターン。. 2.22. ドウシュツソクテ イリョウ. 導出測定量. 複数の基本測定量(2.10) の値の関数として定義し た測定量(2.47)。. ⓒ 2015 Information Processing Society of Japan. 5.
(6) 情報処理学会研究報告 IPSJ SIG Technical Report. Vol.2015-IS-131 No.6 2015/3/6. 表 2.用語比較表(27000:27004)(続き) 同一性 英 語 意 味 (*1). 日 本 語 表 記 (*2). ISO/IEC 27000 日 本 語 意 味 (*3). 英語表記 No.. 日本語 読み仮名. 日本語表記. ISO/IEC 27004. 日本語 読み仮名. 意味. No.. 日本語表記. 意味. 3.7. シヒョウ. 指標. 定義された情報ニーズに関 する分析モデルから導出され た,特定の属性の推定又は 評価を示す測度. ○. ○. ×. indicator. 2.30. シヒョウ. 指標. 定義された情報ニーズ (2.31)に関して分析モデ ル(2.2)から導出した,特 定の属性(2.4)の見積り又 は評価を示す測定量 (2.47)。. ○. ○. ×. information need. 2.31. ジョウホウニー ズ. 情報ニーズ. 目的,目標,リスク及び問 題点を管理するために必 要となる見解。. 3.8. ジョウホウニー ズ. 情報ニーズ. 目的,最終目標,リスク及び 問題を管理するために必要 となる洞察. ○. ×. ○. measure. 2.47. ソクテイリョウ. 測定量. 測定(2.48)の結果として 値が割り当てられる変数。. 3.9. ソクド. 測度. 測定の結果として値が割り当 てられる変数. 3.10. ソクテイ. 測定. 測定方法,測定関数,分析 モデル及び判断基準を用い て,ISMS 及び管理策の有効 性に関する情報を得るプロセ ス. 3.11. ソクテイノカンスウ. 測定関数. 二つまたはそれ以上の基本 測度合を組み合わせるため に遂行するアルゴリズム又は 計算. 3.12. ソクテイホウホウ. 測定方法. 総称的に記述された一連の 論理的操作で,特定された 尺度に関して属性を定量化 するために使うもの. 3.13. ソクテイケッカ. 測定結果. 情報ニーズを取り扱う一つ又 は複数の指標及びそれに関 連する解釈. ×. ○. ×. measurement. 2.48. ソクテイ. 測定. 値を決定するプロセス (2.61)。. ○. ○. ×. measurement function. 2.49. ソクテイノカンスウ. 測定の関数. 複数の基本測定量(2.10) を結合するために遂行す るアルゴリズム又は計算。. 2.50. ソクテイホウホウ. 測定方法. 特定の尺度(2.80)に関し て属性(2.4)を定量化する ために使う一連の操作の 論理的な順序を一般的に 記述したもの。 情報ニーズ(2.31)を取り 扱う,一つ以上の指標 (2.30)及びそれに関連す る解釈。. ○. ○. ×. measurement method. ○. ○. ×. measurement results. 2.51. ソクテイケッカ. 測定結果. ○. ×. ×. object. 2.55. タイショウブツ. 対象物. 属性(2.4)の測定(2.48)を 通して特徴付けられるも の。. 3.14. タイショウ. 対象. その属性の測定を通して特 性付けられた項目. ○. ○. ×. scale. 2.8. シャクド. 尺度. 連続的若しくは離散的な 値の順序集合又は分類の 集合で,それに属性(2.4) を対応付けるもの。. 3.15. シャクド. 尺度. 該当属性を写像する,連続 的若しくは離散的な値の順 序集合又はカテゴリー(分 類)の集合. 測定の単位. 取決め又は慣習に従って 定義し採用した特別の量 で,同じ種類の他の量を それと比較することによっ て,その量の相対的な大 きさを表現するためのも の。. 測定単位. 規約により定義し採用した特 別の量で,同じ種類の他の 量をこれと比較することによ って,その大きさをこの量に 対して相対的に表現するた めのもの. ○. ×. ×. unit of measurement. 2.86. ソクテイノタンイ. ○. ○. ○. validation. 2.87. ダトウセイカクニ ン. ○. ○. ○. verification. 2.88. ケンショウ. 3.16. ソクテイタンイ. 妥当性確認. 客観的証拠を提示するこ とによって,特定の意図さ れた用途又は適用に関す る要求事項が満たされて いることを確認すること。. 3.17. ダトウセイカクニ ン. 妥当性確認. 客観的証拠を提示することに よって,特定の意図された用 途又は適用に関する要求事 項が満たされていることを確 認すること. 検証. 客観的証拠を提示するこ とによって,規程要求事項 が満たされていることを確 認すること。. 3.18. ケンショウ. 検証. 客観的証拠を提示することに よって,規程要求事項が満た されていることを確認するこ と. ISO/IEC 27000 においては、説明文中で使用する用語についてその定義を記載している項番が( )を付けて付記されている。 ISO/IEC 27004 の説明文にそれがなくても、英文自体が同じであれば「同一」としている。 また、あってもその項番は同一性の判断では無視した。 note の内容については比較していない。(note は異なっていても、説明文がおなじであれば、同一用語と判定している。 (*2) 全く同じ文字列の場合のみ「○;同一」とした。 (*3) ISO/IEC 27000 においては、説明文は「。」が付されているが、ISO/IEC 27004 の説明文にそれがなくても、和文自体が同じ であれば「同一」としている。 注記の内容については比較していない。 (注記の内容が異なっていても、説明文がおなじであれば、同一用語と判定していることになる。) (*1). ⓒ 2015 Information Processing Society of Japan. 6.
(7) 情報処理学会研究報告 IPSJ SIG Technical Report 付録 3. Vol.2015-IS-131 No.6 2015/3/6. 表 3.用語比較表(27000:ISO 19011). 同一性(*4) 英 語 意 味 (*1). 日 本 語 表 記 (*2). ISO/IEC 27000 日 本 語 意 味 (*3). 英語表記 No.. 日本語 読み仮名. 日本語 表記. ISO 19011. 意味. 監査基準が満たされて いる程度を判定するた めに,監査証拠を収集 し,それを客観的に評 価するための,体系的 で,独立し,文書化した プロセス(2.61)。. No.. 日本語 読み仮名. 日本語 表記. 意味. 3.1. カンサ. 監査. 監査基準(3.2)が満たされている 程度を判定するために,監査証 拠(3.3)を収集し,それを客観的 に評価するための,体系的で, 独立し,文書化されたプロセス。. 記載無し. 3.2. カンサキジュン. 監査基準. 監査証拠(3.3)と比較する基準と して用いる一種の方針,手順又 は要求事項.. audit evidence. 記載無し. 3.3. カンサショウコ. 監査証拠. 監査基準(3.2)に関連し,かつ, 検証できる,記録,事実の記述 又はその他の情報.. △. audit findings. 記載無し. 3.4. カンサショケン. 監査所見. 収集された監査証拠(3.3)を,監 査基準(3.2)に対して評価した結 果.. △. △. audit conclusion. 記載無し. 3.5. カンサケツロン. 監査結論. 監査目的及び監査所見(3.4)を 考慮したうえでの,監査(3.1)の 結論. △. △. △. audit client. 記載無し. 3.6. カンサイライシャ. 監査依頼者. 監査(3.1)を要請する組織又は 人.. △. △. △. audittee. 記載無し. 3.7. ヒカンサシャ. 被監査者. 監査される組織. △. △. △. auditor. 記載無し. 3.8. カンサイン. 監査員. 監査(3.1)を行う人.. △. △. △. audit plan. 記載無し. 3.15. カンサケイカク. 監査計画. 監査(3.1)のための活動及び手 配事項を示すもの.. △. △. △. audit programme. 記載無し. 3.13. カンサプログラム. 監査プログ ラム. 特定の目的に向けた,決められ た期間内で実行するように計画 された一連の監査(3.1)の取り決 め.. ○. ○. ○. audit scope. 3.14. カンサハンイ. 監査範囲. 監査(2.5)の及ぶ領域及び境 界。. △. △. △. audit team. 3.9. カンサチーム. 監査チーム. 監査(3.1)を行う一人又は複数 の監査員(3.8).必要な場合は, 技術専門家(3.10)による支援を 受ける.. ○. ○. ○. competence. 2.11. リキリョウ. 力量. 意図した結果を達成す るために,知識及び技 能を適用する能力。. 3.17. リキリョウ. 力量. 意図した結果を達成するため に,知識及び技能を適用する能 力。. ○. ○. ○. conformity. 2.13. テキゴウ. 適合. 要求事項(2.63)を満た していること。. 3.18. テキゴウ. 適合. 要求事項を満たしていること。. △. △. △. guide. 3.12. アンナイヤク. 案内役. 監査チーム(3.9)を手助けするた めに,被監査者(3.7)によって指 名された人.. ○. ○. ×. audit. △. △. △. audit criteria. △. △. △. △. △. △. 2.5. 2.6. カンサ. カンサハンイ. 監査. 監査範囲. 監査(2.5)の及ぶ領域 及び境界。. 記載無し. 記載無し. ×. ○. ×. management system. 2.46. マネジメント システム. マネジメント システム (*5). ○. ○. ○. nonconformity. 2.53. フテキゴウ. 不適合. △. △. △. observer. ○. ○. ○. risk. △. △. △. technical expart. 方針(2.60),目的 (2.56)及びその目的を 達成するためのプロセ ス(2.61)を確立するた めの,相互に関連する 又は相互に作用する, 組織(2.57)の一連の要 素。. 3.20. マネジメントシス テム. マネジメント システム. 方針(2.60),目的(2.56)及びそ の目的を達成するためのプロセ ス(2.61)を確立するための,相 互に関連する又は相互に作用 する,組織(2.57)の一連の要 素。. 要求事項(2.63)を満た していないこと。. 3.19. フテキゴウ. 不適合. 要求事項を満たしていないこ と。. 3.11. オブザーバ. オブザーバ. 監査チーム(3.9)に同行するが, 監査は行わない人. 3.16. リスク. リスク. 目的に対する不確かさの影響。. 3.10. ギジュツセンモン カ. 技術専門家. 監査チーム(3.9)に特定の知識 又は専門的技術を提供する人.. 記載無し 2.68. リスク. ⓒ 2015 Information Processing Society of Japan. リスク 記載無し. 目的に対する不確かさ の影響。. 7.
(8) 情報処理学会研究報告 IPSJ SIG Technical Report. ISMS 関連国際規格における用語定義に関する一考察 <正誤表> 永井好和†. 多田村克己†. 小河原加久治†. A Study on the definition of terms in the international standards about ISMS <Errata sheet> YOSHIKAZU NAGAI† KATUMI TADAMURA† KAKUJI OGAWARA†. 項番. 訂正個所 章. 訂正内容. 頁/左右/行. 誤. 正. 1. 1. 1/左/3行目. ISMS ファミリー規格[b]. ISMS ファミリー規格[a]. 2. 1. 1/左/注釈. b. a. 3. 2. 1/右/下から2行目. 27001:2005=改訂前規格. 27001:2005『改訂前規格』. 4. 2. 2/左/2行目. (3) I27004:2009. (3) 27004:2009. 5. 4. 3/左/本文最終行. 立つもことを. 立つことを. 6. 付録1. 3/表項番4. ISO/IEC 27002:2005. ISO/IEC 27002:2013. ⓒ2015 Information Processing Society of Japan. この用語・・・. この用語・・・.
(9)
関連したドキュメント
「JSME S NC-1 発電用原子力設備規格 設計・建設規格」 (以下, 「設計・建設規格」とい う。
十四 スチレン 日本工業規格K〇一一四又は日本工業規格K〇一二三に定める方法 十五 エチレン 日本工業規格K〇一一四又は日本工業規格K〇一二三に定める方法
This study examines a conceptual model that will direct Japan’s sports policy beyond the 2020 games by philosophically organising the legacy concept required for h ost cities
海洋のガバナンスに関する国際的な枠組を規定する国連海洋法条約の下で、
汚染水処理設備,貯留設備及び関連設備を構成する機器は, 「実用発電用原子炉及びその
従って,今後設計する機器等については,JSME 規格に限定するものではなく,日本産業 規格(JIS)等の国内外の民間規格に適合した工業用品の採用,或いは American
従って,今後設計する機器等については,JSME 規格に限定するものではなく,日本工業 規格(JIS)等の国内外の民間規格に適合した工業用品の採用,或いは American
規格(JIS)等の国内外の民間規格に適合した工業用品の採用,或いは American Society of Mechanical Engineers(ASME 規格)
