ISO27001用語集
投稿日:2025年9月17日 最終更新日:2025年9月17日
ISO 27001は情報セキュリティマネジメントシステム(ISMS)に関する国際規格であり、組織の情報資産を保護し、セキュリティリスクを管理するための仕組みを定めています。本ページでは、ISO 27001で重要となる用語を定義付きで整理しました。
基本概念
ISO 27001
情報セキュリティマネジメントシステム(ISMS)に関する国際規格。情報の機密性・完全性・可用性を確保し、リスクを管理することを目的とする。
情報セキュリティマネジメントシステム(ISMS)
組織の情報資産を保護するための体系的な仕組み。リスク評価と管理策の運用に基づく。
規格要求事項
ISO 27001で組織が満たすべき条件。リスクマネジメントや継続的改善が含まれる。
情報資産とリスク
情報資産
組織にとって価値を持つ情報やデータ、ならびにそれを支える媒体・設備・ソフトウェアなど。
リスク
脅威が脆弱性を突いたときに情報資産に与える影響の可能性と重大性。
リスク評価
情報資産に対するリスクを特定・分析・評価し、対応策を決定するプロセス。
脅威
情報資産に損害を与える可能性のある要因(例:サイバー攻撃、自然災害、人的ミス)。
脆弱性
脅威に悪用され得るシステムや手順上の弱点。
管理策(Annex A)
管理策
リスクを低減するために導入される具体的なセキュリティ対策。ISO 27001のAnnex Aに体系化されている。
物理的セキュリティ
建物や設備に関するアクセス制御、入退室管理、防災対策など。
技術的セキュリティ
ファイアウォール、暗号化、アクセス権限管理、バックアップなど。
人的セキュリティ
従業員教育、セキュリティポリシー遵守、職務分掌など。
セキュリティの三大要素
機密性(Confidentiality)
許可された者だけが情報へアクセスできる状態を維持すること。
完全性(Integrity)
情報が正確で完全であり、改ざんされていないことを保証すること。
可用性(Availability)
必要なときに情報へアクセスでき、利用できる状態を確保すること。
運用と対応
セキュリティポリシー
組織が情報セキュリティを維持するための基本的な方針をまとめた文書。
アクセス制御
情報やシステムに対する利用権限を定義し、制御する仕組み。
暗号化
情報を特定の鍵なしでは読めない形式に変換し、不正利用を防止する技術。
インシデント
セキュリティに関わる望ましくない事象。情報漏えい、マルウェア感染、不正アクセスなど。
インシデント対応
セキュリティインシデントが発生した際に、検知・報告・分析・封じ込め・復旧・再発防止を行うプロセス。
事業継続計画(BCP)
災害や障害発生時に事業を継続または早期に再開するための計画。
災害復旧計画(DRP)
システム障害や災害発生後にITインフラやサービスを復旧するための計画。
監査と改善
内部監査
ISMSが規格や組織内規定に適合しているかを確認するための活動。
マネジメントレビュー
経営層がISMSの有効性を確認し、改善方針を決定する会議。
是正処置
不適合やインシデントの原因を取り除き、再発防止を図る活動。
継続的改善
PDCAサイクルを通じて、ISMSを段階的に強化していく取り組み。
※本用語集はISO 27001の理解を促進するための要約です。実務適用時には規格原文や関連ガイドラインをご参照ください。
ISOコム株式会社お問合せ窓口 0120-549-330
当社ISOコム株式会社は、各種ISOの新規取得支援や維持、更新の際のサポートを行っているコンサルティング会社です。
ベテランのコンサルタントが親切丁寧にサポートしますので、気になる方は是非ご連絡ください。
お見積やご相談はお問い合わせフォームから弊社にご連絡ください。
