Recently in 用語集 Category

ISO 27000シリーズ

2005年12月17日 トラックバック (0) コメント (0)

ISMSシリーズとして体系化されつつあります。

ISO 27000
原則および用語集(ISMS Fudamentals and vocabulary)
 27000 ISMSシリーズ規格の関連を体系化
 MICTS-1の一部が流用される

ISO 27001
情報技術-セキュリティ技術-情報セキュリティマネジメントシステム-要求事項
 ISMS要求事項でBS7799 Part2:2002の改版
JIS Q 27001 2006年3月予定

ISO 27002
 情報技術-情報セキュリティマネジメントの実践のための規範
管理分野(11分野)管理対策方針(49方針)管理項目(138項目)
 2007年4月からISO/IEC 27002に採番されるが、それまではISO/IEC 17799:2005
 JIS Q 27002:2006 2006年3月予定、旧版はJIS X 5080:2002

Continue reading ISO 27000シリーズ.

エラーとミステーク

2005年12月13日 トラックバック (0) コメント (0)

エラー(error)
 「~していることに気づかない誤り」

例:「1株を61万円で売り」との注文を受け、「61万株を1円で売り」とコンピューター端末に入力した。

ミステーク(mistake)
 「思慮が足りないために起きた誤り」

例:制限値幅を超える注文処理を取消しできないシステムを設計した。

参考文献:
 「英単語比較学習帳

情報セキュリティ・インシデント

2005年11月22日 トラックバック (0) コメント (0)

情報セキュリティ・インシデント(information secrity incident)
望まないまたは予期しない単独または一連の情報セキュリティ事象であって、事業運営を危うくする確率およびセキュリティを脅かす確率が高いもの。
[ISO/IEC TR 18044:2004]

情報セキュリティ事象

2005年11月22日 トラックバック (0) コメント (0)

情報セキュリティ事象 (information security event)
システム、サービスまたはネットワークにおける特定の状態の発生。特定の状態とは、情報セキュリティ基本方針への違反もしくは管理策の不具合の可能性、またはセキュリティに関連するかもしれない未知の状態を示しているものをいう。
[ISO/IEC TR 18044:2004]

悪魔の代弁者

2005年10月19日 トラックバック (0) コメント (2)

悪魔の代弁者  devil's advocate

組織の中で、あえて異論をとなえ、それに反駁させることで、組織としての決定や行為の質を高めさせる役割を担う人のこと。組織安全や違反を確保するための一つの方策としても有効である。通常の組織では、上司がこの役割を引き受けるが、組織に染まっていて有効に機能しないことが多い。
----

Continue reading 悪魔の代弁者.

自己奉仕的バイアス

2005年10月17日 トラックバック (0) コメント (0)

自己奉仕的バイアス self-serving bias

知らず知らずのうちに自分が望む結論と反するような事実を軽んじ、自分の意見を裏付けるような証拠を無批判に受け入れる心理的な傾向のこと。

参考資料:
 善意の会計士が不正監査を犯す理由 ハーバード・ビジネス・レビュー2005年10月号

情報セキュリティモデル報告書

2005年9月 2日 トラックバック (0) コメント (0)

リスク・コミュニケーションには社内リスク・コミュニケーションと社外リスクコミュニケーションの2つのタイプがあります。

社内リスク・コミュニケーション:
 従業員とのリスクに関する情報を交換し、共有化をはかること

社外リスクコミュニケション:
 投資家等、社外のステークホルダーへのリスク情報を開示すること。
 IR活動など

経済産業省が公表している「情報セキュリティ報告書モデル」も社外リスクコミュニケーション活動のひとつの例です。これは以前にも紹介した
企業における情報セキュリティガバナンスのあり方に関する研究会報告書(案)」の資料から入手できます。
 情報セキュリティ報告書モデル PDF

Continue reading 情報セキュリティモデル報告書.

リスク・コミュニケーション

2005年9月 1日 トラックバック (0) コメント (0)

リスク・コミュニケーション risk communication

ISO/IEC Guide 73:2002によると「リスクコミュニケーション」の定義は
「意思決定者と他のステークホルダーの間における、リスクに関する情報の交換、又は共有」
とありますが、わかったようなわからないような(笑)

私見ですがリスク・コミュニケーションのポイントは以下の3つでしょう。

意思決定者とステークホルダー
意思決定者とはリスク対策を決定する人で、ステークホルダーとはその決定に影響をうける人たちのことです。たとえば、災害リスクであれば行政が意思決定者で市民がステークホルダーでしょう。
また、特定のリスクに関する専門家と一般人。企業であればリスク対策マニュアルを作る人とユーザも同じ関係です。
さらにいうと、企業のリスクに対して、影響をうける投資家もステークホルダーですからリスクコミュニケーションが必要となります。IR(Investor relatiuons)もリスクコミュニケーション活動のひとつですね。

Continue reading リスク・コミュニケーション.

ビジネスインパクト分析

2005年8月29日 トラックバック (0) コメント (0)

ビジネスインパクト分析 
事業影響度分析 BAI(Business Impact Analysis)

組織内で機能停止が起きた場合の影響を評価決定すること。
事業継続計画策定の最初のステップ。

◆ビジネスインパクト分析の目的◆
 事業継続、事業復旧の優先順位を定める

◆ビジネスインパクト(影響度)を測定する要素◆
 許容可能な業務の中断時間 
 法的な要求事項
 組織の評判

Continue reading ビジネスインパクト分析.

オペレーショナル・リスク

2005年7月29日 トラックバック (0) コメント (0)

オペレーショナル・リスク operational risk

事業の運営に必要となる人、プロセス、システム、技術などに係るリスク。明確な定義についての合意はないが多くの金融機関ではマーケット・リスクおよび信用リスクに分類されない他の全てのリスクと定義されている。
新BIS規制では、分子の自己資本の計算方法は現行のままで、分母として新たにオペレーショナル・リスクを追加している。

◆オペレーショナルリスク事象のタイプと例◆ 

Continue reading オペレーショナル・リスク.
« リンク | メインページ | アーカイブ | 観た映画 »

Recent Entries

スパイウェア
スパイウェア spyware ユーザの個…
amane | コメント(0)
冗長化設計
システムに並列性を取り入れて、全体として…
amane | コメント(0)
ハインリッヒの法則
ハインリッヒの法則 Heinrich's…
amane | コメント(0)