ISMS Ver2.0では、“セキュリティ事件・事故”という表現が用いられていましたが、ISO/IEC 27001では、“セキュリティインシデント”と表現されています。
“セキュリティ事件・事故”と“セキュリティインシデントの”違いについて教えて下さい。
ISMS Ver2.0は、英国規格のBS 7799-2:2002に基づいて作成されたものです。
BS 7799-2:2002では、もともと“Security Incident”と記述されていましたが、ISMS Ver2.0を作成する際に、“セキュリティ事件・事故”と翻訳しています。
その意味では、ISMS Ver2.0でいう“セキュリティ事件・事故”とISO/IEC 27001の“セキュリティインシデント”は同じであると言えるかも知れません。
しかしながら、ここで注意しなければならないのは、ISO/IEC 27001では、
“情報セキュリティ事象(information security event)”と“情報セキュリティインシデント(information security incident)”を明確に定義したことです。
“情報セキュリティ事象”は“システム、サービス、ネットワークに関連して、情報セキュリティ基本方針への違反や、管理策の不具合、セキュリティに関連するかもしれない未知の状態”であり、“情報セキュリティインシデント”は、“望まない、又は予期しない一連の情報セキュリティ事象であって、事業運営や、情報セキュリティを脅かす可能性が高いもの”と定義されています。
“情報セキュリティイベント”必ずしも問題に発展しないかもしれない事象、“情報セキュリティインシデント”は、“情報セキュリティ事象”の中でも“望まない、予期しない”ものであり、リスクの高いものということになります。
ISO/IEC 27001では、情報セキュリティを維持するためには、標準状態の範囲に含まれる“情報セキュリティ事象”と標準の範囲外に属する“情報セキュリティインシデント”の閾(しきい)を明確にして、“情報セキュリティインシデント”につながる“情報セキュリティ事象”を検出することが重要であることを明確に打ち出しています。
ISO/IEC 27001において“情報セキュリティインシデント”を明確に定義したこと、及び、JIS化にあたって敢えて“インシデント”という片仮名を用いたその意図を捉えるならば、一般に“セキュリティ事件・事故”という言葉から受ける印象の範囲に含まれる事象よりも、より広い範囲で“情報セキュリティインシデント”を捉える必要があることは、言うまでもありません。