情報セキュリティ事象

Information Security Event

じょうほうせきゅりてぃじしょう

情報セキュリティに関連する、システムやサービス、ネットワークの状態変化を示す事象。セキュリティ方針への違反や管理策の不具合の可能性を示すもので、すべてがインシデントになるわけではなく、評価の結果インシデントに該当するかを判断する。

情報セキュリティインシデント管理の推進又は支援に関すること > 情報セキュリティ事象の評価

関連キーワードの用語

情報セキュリティ事象のうち、事業運営を脅かし情報セキュリティを脅かす可能性が高いと評価されたもの。不正アクセス、情報漏洩、マルウェア感染、サービス妨害などが該当し、組織は検知後に対応手順に従い迅速に対処する必要がある。

組織の情報セキュリティを管理するための仕組み。ISO/IEC 27001（JIS Q 27001）に基づき、リスクアセスメントを行い、適切な管理策を選定・実施・運用・監視・改善するPDCAサイクルを回す。ISMS適合性評価制度により第三者認証を受けることができる。

経営陣が主導して、組織全体の情報セキュリティ活動を統治・管理するための枠組み。経営戦略と整合した情報セキュリティ方針の策定、資源配分、リスク管理の意思決定を含む。JIS Q 27014（ISO/IEC 27014）で規定されている。

ISMSの要求事項を規定する国際規格。組織がISMSを確立、実施、維持、継続的に改善するための要求事項を定める。日本ではJIS Q 27001として翻訳規格が発行されており、ISMS認証の基準となる。

情報セキュリティ管理策の実践規範を示す国際規格。ISO/IEC 27001の附属書Aに記載された管理策について、詳細な実施の手引きを提供する。組織的管理策、人的管理策、物理的管理策、技術的管理策の4分類で構成される。

経営陣が承認し、組織の情報セキュリティに対する方向性と支持を表明する文書。情報セキュリティの目的、適用範囲、基本方針を定め、組織全体のセキュリティ活動の基盤となる。法令・規制・契約上の要求事項や情報セキュリティの動向を踏まえて策定・改定する。