情報セキュリティマネジメント

情報の機密性、完全性、可用性を確保し、情報資産を脅威から保護すること。技術的対策だけでなく、組織的・人的対策も含む包括的な取り組みを指す。

情報の機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を確保すること。組織の情報資産を脅威から保護するための方針と対策を策定・実施し、CIAの3要素のバランスを維持する。

情報の機密性（Confidentiality）、完全性（Integrity）、可用性（Availability）を維持すること。組込みシステムでは、暗号化によるデータ保護、認証によるアクセス制御、ファームウェアの改ざん防止がセキュリティ確保の柱となる。

ITサービスにおける情報の機密性・完全性・可用性を確保するためのプロセス。情報セキュリティ方針の策定、リスクアセスメント、セキュリティ管理策の実施と監視を行う。

情報の機密性、完全性、可用性を維持すること。JIS Q 27000（ISO/IEC 27000）で定義されており、真正性、責任追跡性、否認防止、信頼性を加える場合もある。

プロジェクトの文書、成果物、ベースラインに対する変更の公式な要求。是正措置（パフォーマンスの調整）、予防措置（リスクへの事前対応）、欠陥修正、更新のいずれかの形で発生する。統合変更管理プロセスで審査される。

人間の行動に関する2つの対照的な仮定。X理論は人は本来怠惰で管理・強制が必要とし、Y理論は人は本来自律的で適切な条件下では積極的に貢献するとする。プロジェクトマネージャのリーダーシップスタイルの選択に影響する。

組織の情報セキュリティに関する基本方針、対策基準、実施手順を体系的に定めた文書。経営層の承認のもと策定され、組織全体のセキュリティ対策の指針となる。

組織のリスクを体系的に管理するプロセス。リスクの特定、分析、評価、対応を行い、許容可能な水準にリスクを維持する。JIS Q 31000（ISO 31000）でリスクマネジメントの原則と指針が規定されている。

情報資産に対するリスクを体系的に特定・分析・評価するプロセス。リスク特定（脅威と脆弱性の洗い出し）、リスク分析（発生可能性と影響度の評価）、リスク評価（リスク受容基準との比較）の3段階で構成される。情報セキュリティマネジメントの基盤。

組織の情報セキュリティを体系的に管理するための仕組み。計画（Plan）、実行（Do）、点検（Check）、改善（Act）のPDCAサイクルで継続的に改善する。JIS Q 27001（ISO/IEC 27001）が要求事項を、JIS Q 27002が管理策の実施の手引きを規定する。