情報セキュリティ管理 (情報セキュリティマネジメント試験)|用語集

by Yuan
發布於: 最近更新於: 18 次瀏覽
情報セキュリティ管理

こちらは 情報セキュリティマネジメントという試験を準備していた際、自分のメモです。
みなさんの参考になるようにまとめしました。

情報セキュリティマネジメント (情報セキュリティ管理) | 用語集
日本語解説
【リスクマネジメント】               ▶リスク対応
リスクを修正するプロセス
▶リスクの特定
リスクを発見、認識及び記述するプロセス
▶リスク分析
リスクの特質を理解し、リスクレベルを決定するプロセス(リスクの算定を含む)
▶リスク評価
リスク及び/又はその大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス
【CVE(Common Vulnerabilities and Exposures)識別子】製品に含まれる脆弱性を識別するための識別子である。
【CWE(Common Weakness Enumeration)】ソフトウェアの脆弱性の種類の一覧
【CVSS(Common Vulnerability Scoring System)】 基本評価基準,現状評価基準,環境評価基準の三つの基準でIT製品の脆弱性を評価する手法        
【情報セキュリティガバナンス&ITガバナンス】情報セキュリティガバナンスの範囲とITガバナンスの範囲は重複する場合がある。
【JVN(Japan Vulnerability Notes):脆弱性対策ポータルサイト】       脆弱性対策情報ポータルサイト
【CSIRT(Computer Security Incident Response Team,シーサート)】国レベルや企業・組織内に設置され,コンピュータセキュリティインシデントに関する報告を受け取り,調査し,対応活動を行う組織の総称である。         
【CRYPTREC(Cryptography Research and Evaluation Committees)】             ▶電子政府推奨暗号の安全性を評価・監視し、暗号技術の適切な実装法・運用法を調査・検討するプロジェクトです。
▶電子政府推奨暗号の安全性を評価・監視し,暗号技術の適切な実装法・運用法を調査・検討するプロジェクトであり,総務省及び経済産業省が共同で運営する暗号技術検討会などで構成される。
【サポートユーティリティ】        情報システムが稼働するための基盤となるライフラインのことです。JIS Q 27002では、サポートユーティリティとして電気、通信サービス、給水、ガス、下水、換気、空調を例示しています。
【サイバー情報共有イニシアティブ(J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan )】                検知したサイバー攻撃の情報を公的機関に集約し,高度なサイバー攻撃対策につなげていく取組み
【日本産業標準調査会(JISC)】                       産業標準化法に基づいて経済産業省に設置されている審議会であり,産業標準化全般に関する調査・審議を行っている。
【NISC】                    内閣官房に設置され,我が国をサイバー攻撃から防衛するための司令塔機能を担う組織である。
【JPCERTコーディネーションセンター(JPCERT/CC)】特定の政府機関や企業から独立した組織であり,国内のコンピュータセキュリティインシデントに関する報告の受付,対応の支援,発生状況の把握,手口の分析,再発防止策の検討や助言を行っている。
【投機リスク・純粋リスク】        ▶投機的リスク相場などのように利益と損失のどちらかが生じる可能性のある不確実性のこと
▶純粋リスク損失のみが生じる可能性のある不確実性のこと
【PDCA】Plan・Do・Check・Actの各フェーズの略で、この一連の流れを繰り返すことでシステムの維持・改善に努めます。                                                                  
【ISMS(情報セキュリティマネジメントシステム)】ISMSのPDCAサイクルで行うことは、
▶Plan(計画): 情報セキュリティ対策の具体的計画・目標を策定する。
▶Do(実行): 計画に基づいて対策の導入・運用を行う。
▶Check(点検): 実施した結果の監視・見直しを行う。
▶Act(処置): 経営陣による改善・処置を行う。
【リスク対応策】       ▶移転
保険に加入する、リスクのある業務をアウトソーシングするなどして、 他者とリスクを共有すること
▶回避
リスク源を除去して、リスクの発現確率をゼロにすること
▶低減
リスクの発現確率やリスクが現実化したときの損失を低下させること
▶受容
リスクに対してあえて何の対策もとらないこと。発生頻度が低く損害も小さいリスクに対して選択される

    相關文章

    發布留言