ホーム > セキュリティコンサルティング用語集

セキュリティコンサルティング用語集

セキュリティコンサルティングに関する用語集です。

IT全般統制コンサルティング

IT全般統制コンサルティングページへ

日本版SOX法: 企業の内部統制強化を目的に、会社法、金融証券取引法の改正により、2009年3月期から導入される法制度。米国の企業改革法｢SOX(サーベンス・オクスリー)法｣と目的や構成が似ているため、｢日本版SOX法｣、「J-SOX」と呼ばれる。
COBIT: Control Objectives for Information and related Technologyの略。米国の情報システムコントロール協会が提唱するITガバナンスのフレームワーク。4つの管理プロセスと34のITプロセスを定義し、各プロセスについてCSF(重要成功要因)/KGI(重要目標達成指標)/KPI(重要業績達成指標)及び成熟度を定義している。
内部統制: 組織内部での統制活動のこと。会社法、金融証券取引法において内部統制システムの構築や経営陣による評価が義務付けられた。大きく全社的内部統制、業務処理統制、全般統制に区分される。

ISO27001認証取得コンサルティング

ISO27001認証取得コンサルティングページへ

ISO: ISO(International Organization for Standardization)とは国際規格を作成している団体であり、2005年10月に情報セキュリティの規格であるISO/IEC27001を作成した。ISO/IEC27001以外で有名なISOとして品質のISO9000シリーズ、環境のISO14000シリーズがある。
ISMS: (Information Security Management System)とは、情報の改ざん、漏えい等といった脅威から資産を適切に保護するために、組織における情報セキュリティのマネジメントを確立し運営しようとするもの。
管理策: 情報セキュリティを維持するために実施される対策のこと。ISO/IEC27001では附属書Aの133の管理策から選択する。

ISO20000認証取得コンサルティング

ISO20000認証取得コンサルティングページへ

ISO20000: 2005 年12月に発行されたITサービスおよびそのマネジメントの国際規格である。ITIL(Information Technology Infrastructure Library)を基に、組織が効率的・効果的なシステム運用を実施するための枠組みや運用管理を規定している。
ITSMS: (Information Technology Service Management System)とは組織が効率的・効果的に管理されたITサービスを実施するための枠組みを確立して運用管理するシステムである。
ITSMS適合性評価制度: JIS Q 20000-1(ISO/IEC 20000-1)を認証基準としたITサービスマネジメントシステム(ITSMS)に対する第三者認証制度である。2007年4月からJIS Q 20000-1による認証が行われている。
ITIL: (Information Technology Infrastructure Library)とは英国政府機関が開発したIT活用における実際の知識・ノウハウ（ベストプラクティス）を集約したガイドラインである。

プライバシーマーク認定取得コンサルティング

プライバシーマーク認定取得コンサルティングページへ

プライバシーマーク制度: 個人情報保護の規格(JIS Q15001)に適合したPMS（個人情報保護マネジメントシステム）を整備し、個人情報の取り扱いを適切に行っている事業者を、第三者機関が評価・認定する制度。
PMS（個人情報保護マネジメントシステム）: 個人情報保護に関する実施体制、規程類、記録、実施状況などを含んだ個人情報保護のためのマネジメントシステム。
個人情報: 個人に関する情報であり、当該情報に含まれる氏名、生年月日その他記述、又は個人別に付けられた番号、記号その他の符号、画像、音声などによって当該個人を特定できるもの。
個人情報保護法: 個人情報の適切な取り扱いを義務付ける法律であり、民間事業者が違反した場合には6ヶ月以下の懲役または30万円以下の罰金が科せられる。
※2005年4月1日より施行。

情報セキュリティ監査サービス

情報セキュリティ監査サービスページへ

情報セキュリティ監査: 企業や政府などの情報セキュリティ対策について、独立かつ専門的知識を有する専門家が、客観的に評価を行う手法。
情報セキュリティ監査制度: 情報セキュリティ監査の標準的な基準(情報セキュリティ管理基準)および情報セキュリティ監査主体のあり方(情報セキュリティ監査基準)について定めた制度。
※2003年4月1日より運用開始
地方公共団体情報セキュリティ監査ガイドライン: 地方公共団体における情報セキュリティ監査の標準的な基準(管理基準)、監査の実施手順(監査実施手順)および技術的検証についての指針。
技術的検証: 情報システム及びネットワークにおいて、機器の設定が正しく行われているか、セキュリティパッチが適用されているか等の検証を行うこと。セキュリティポリシーや基準等の整備や実施状況という論理的検証の他に技術的検証を行うことが重要である。日立ソリューションズで実施する技術的検証について詳しくはこちら。

セキュリティ診断サービス

情報セキュリティポリシー策定コンサルティング

情報セキュリティポリシー策定コンサルティングページへ

情報セキュリティポリシー: セキュリティに関する基本方針と判断基準の原点で、守るべき情報資産、守るための基本方針および対策基準を示したもの。

事業継続マネジメント策定コンサルティング

事業継続マネジメント策定コンサルティングページへ

BCM: 事業継続マネジメント(Business Continuity Management)とは、災害や大事件など、事業の存続が危ぶまれるような事態が発生した場合、素早く復旧させるための体制整備、計画立案、試験の実施等の事業継続のための枠組み。
BCP: 事業継続計画(Business Continuity Plan)とは、災害や大事件など、事業の存続が危ぶまれるような事態が発生した場合に、どのように事業を継続させるかを計画したもの。
RTO: 目標復旧時間(Required Time Objective)とは、災害や事故が発生した場合の復旧させるための目標時間のこと。RTOが決まっているとバックアップ方法などの対策にかけなければならない金額算出の一つの目安になる。
RPO: 目標復旧地点(Required Point Objective)とは、災害や事故が発生した場合に、データをどの地点までのデータを復旧させるか、バックアップの必要頻度を示す。
DRシステム: ディザスタリカバリ(disaster recovery)とは、事故や災害が発生した場合でも、素早く業務を再開させるためのシステム。具体的には遠隔バックアップ、バックアップセンター等が該当する。

情報セキュリティシステム設計コンサルティング

情報セキュリティシステム設計コンサルティングページへ

RFP(Request for Proposal): 目的・要件を明確にし、調達物および調達先を選定する基準のこと。

PCI DSS対応コンサルティング

PCI DSS対応コンサルティングページへ

PCI SSC(Payment Card Industry Security Standards Council): 大手ブランド5社(American Express、Discover Financial Services、JCB International、MasterCard Worldwide、Visa Inc.)によって設立されたの独立機関。
PCI DSS(Payment Card Industry Data Security Standard): カード会員データのセキュリティを保護するためPCI SSCにより策定、維持されたセキュリティ基準。

このページの先頭へ