この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) は、各国の標準化団体 (ISO メンバー団体) の世界的な連合です。国際規格の作成作業は、通常、ISO 技術委員会を通じて行われます。技術委員会が設立された主題に関心のある各会員団体は、その委員会に代表される権利を有します。 ISOと連携して、政府および非政府の国際機関もこの作業に参加しています。 ISO は、電気技術の標準化に関するすべての問題について、国際電気標準会議 (IEC) と緊密に協力しています。
この文書の作成に使用された手順と、今後の維持のために意図された手順は、ISO/IEC 指令のPart 1 で説明されています。特に、さまざまな種類の ISO 文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
このドキュメントの一部の要素が特許権の対象となる可能性があることに注意してください。 ISO は、そのような特許権の一部または全部を特定する責任を負わないものとします。ドキュメントの開発中に特定された特許権の詳細は、序文および/または受信した特許宣言の ISO リストに記載されます ( www.iso.org/patents を参照)
このドキュメントで使用されている商号は、ユーザーの便宜のために提供された情報であり、保証を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および技術的貿易障壁 (TBT) における世界貿易機関 (WTO) の原則への ISO の準拠に関する情報については、 www を参照してください。 .iso.org/iso/foreword.html .
このドキュメントは、技術委員会 ISO/TC 292, セキュリティとレジリエンスによって作成されました。
序章
リスクの状況は、民間企業、政府機関、非政府組織など、社会のすべての関係者にとって変化しています。組織の相互接続と相互依存が深まり、その結果、リスクが重複したり境界を越えたりするようになりました。
重要な社会インフラとサービスの所有パターンが変化するということは、民間企業が対処能力、経験、知識交換を向上させるためのメカニズムの開発に関与しなければならないことを意味します。重要な社会インフラまたはサービスはますます私的に管理または所有されており、能力開発を目的とした協力と情報交換のための新しい要件が生まれています。
管轄権を有する当局は、市民に奉仕し、保護する最終的な責任を負っていますが、重要な社会的機能のセキュリティを強化するための予防措置は、伝統的に政府および公共の中核分野と見なされてきましたが、解決策は民間部門で見つかることがよくあります。保護のための予防措置を強化および支援するために、社会保障を強化し、レジリエンスを強化するために、民間部門と公共部門の両方の複数の関係者が効果的かつ安全に情報を交換できる必要があります。
一般に、コラボレーションの目的は、セキュリティを強化し、脆弱性を軽減するためのアクションを特定して開始することです。起こりうる負債、リスク、および脆弱性に関する情報交換は、組織の有効性と効率を高めることができます。
情報共有に関して、組織間に正確な境界を確立することは困難ですが、必要です。これらの分野での調整には、セクター、地域、または国ごとに、セクター内で調整された特別なソリューションが必要であるため、調整の責任も定義するのが困難です。
民間業者はまた、機密のビジネス情報が漏洩したり、競争を妨げたり、ビジネスや商標に損害を与えるために使用されたりしないという保証を必要とします。その結果、安全な情報交換は、公的組織と民間組織の両方にとって、成功した効果的な情報交換の不可欠な条件です。
情報交換協定に参加する組織は、レジリエンスを強化する目的で、イベントとリスクに関する知識と理解を深めることができます。効果的な情報交換の取り決めは、これらの参加組織に次のようなその他の利益をもたらす可能性があります。
- 通常、通常の方法ではアクセスできない可能性のある組織を啓蒙します。
- 他の方法では制限されている情報をロック解除することにより、機能を強化します。
- 共有をサポートするための一元化された情報交換を作成します。
- 情報配信能力の向上。
- 思いやりと分かち合いを通して共同体の感覚を生み出します。
このドキュメントは、原則、フレームワーク、およびプロセスの 3 つのセグメントに分かれています。原則は、このドキュメントの核となるものです。フレームワークは、情報交換フレームワークを開発するために必要な要素を特定します。このプロセスでは、取り決めを確立および維持するための情報交換手順について説明します。図 1 は、原則、フレームワーク、およびプロセスの間の関係を示しています。
図 1 —原則、フレームワーク、およびプロセスの間の関係
1 スコープ
このドキュメントは、情報交換のガイドラインを提供します。これには、情報交換のための原則、フレームワーク、およびプロセスが含まれます。参加組織が他者の経験、過ち、成功から学ぶことを可能にする情報交換のメカニズムを特定します。コミットメントと関与を高めるために、情報交換の取り決めの維持をガイドするために使用できます。これは、参加組織が混乱リスクに対処する能力を強化するための手段を提供します。
このドキュメントは、情報交換をサポートするための条件を確立するためのガイダンスを必要とする民間および公的組織に適用されます。
このドキュメントは技術的な側面には適用されませんが、方法論の問題に焦点を当てています。
注記法律は管轄区域ごとに異なる場合があります。適用される法的要件がこのドキュメントにどのように関連しているかを判断するのは、ユーザーの責任です。
2 参考文献
以下のドキュメントは、その内容の一部またはすべてがこのドキュメントの要件を構成するように、テキスト内で参照されています。日付のある参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 22300, セキュリティとレジリエンス — 語彙
3 用語と定義
このドキュメントの目的のために、ISO 22300 および以下に記載されている用語と定義が適用されます。
ISO および IEC は、次のアドレスで標準化に使用する用語データベースを維持しています。
3.1
機密情報
個人、組織、国家安全保障、または公共の安全に悪影響を及ぼすという理由だけで、公開から保護されている情報
[出典: ISO 22300:2018, 3.244, 修正 — 「個人」が追加されました。]
参考文献
| [1] | ISO 22320, セキュリティと回復力 - 緊急事態管理 - インシデント管理のガイドライン |
| [2] | ISO 22395, セキュリティとレジリエンス — コミュニティのレジリエンス — 緊急時に脆弱な人々をサポートするためのガイドライン |
| [3] | ISO 22397, 社会保障 — 提携協定を確立するためのガイドライン |
| [4] | ISO 22398, 社会保障 — 演習のガイドライン |
| [5] | ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| [6] | ISO/IEC 27002, 情報技術 — セキュリティ技術 — 情報セキュリティ管理のための実施基準 |
| [7] | ISO/IEC 29115, 情報技術 — セキュリティ技術 — エンティティ認証保証フレームワーク |
| [8] | ISO 31000, リスク管理 — ガイドライン |
| [9] | 初め。トラフィック ライト プロトコル (TLP) FIRST 規格の定義と使用法ガイダンス — バージョン 1.0 . [2019 年 9 月 18 日閲覧] から入手可能: https://www.first.org/tlp/ |
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies (ISO member bodies). The work of preparing International Standards is normally carried out through ISO technical committees. Each member body interested in a subject for which a technical committee has been established has the right to be represented on that committee. International organizations, governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of ISO documents should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO’s adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html .
This document was prepared by Technical Committee ISO/TC 292, Security and resilience.
Introduction
The landscape of risk has changed for all actors in society, including private enterprises, governmental organizations and non-governmental organizations. Organizations have become more interconnected and interdependent, resulting in risks that overlap and cross boundaries.
Changing ownership patterns of critical societal infrastructure and services mean that private enterprises must be involved in the development of mechanisms for increased coping capacity, experience and knowledge exchange. Critical societal infrastructure or services are increasingly privately managed or owned, creating new requirements for co-operation and information exchange for capacity building purposes.
While the authorities having jurisdiction have the ultimate responsibility to serve and protect their citizens, solutions are often found in the private sector, even though preventive measures for the increased security of critical societal functions have traditionally been regarded as government and public core areas. In order to enhance and support preventive measures for protection, multiple actors from both the private and public sectors should be able to exchange information effectively and securely in order to increase societal security and enhance resilience.
Generally, the objective of collaboration is to identify and initiate actions to increase security and reduce vulnerability. Information exchange on possible liabilities, risks and vulnerabilities can enhance the effectiveness and efficiency of organizations.
It is challenging but necessary to establish accurate boundaries between organizations regarding information sharing. Responsibility for coordination is also difficult to define since coordination in these areas requires special solutions adapted within a sector, for each different sector, region or nation.
Private actors also require a guarantee that their sensitive business information is not leaked, used to impede competition or to damage their business and trademark. Consequently, secure information exchange is an essential condition of successful and effective information exchange for both public and private organizations.
Organizations that participate in information exchange arrangements can increase their knowledge and understanding of events and risks with the aim of enhancing resilience. Effective information exchange arrangements can provide other benefits to these participating organizations, including:
- enlightening organizations that may not usually get access in usual ways;
- enhancing capabilities by unlocking otherwise restricted information;
- creating a centralized information exchange to support sharing;
- increasing capacity for information distribution;
- creating a sense of community through caring and sharing.
This document is divided into three segments: principles, framework and process. The principles present the core of this document. The framework identifies the necessary elements for developing information exchange frameworks. The process describes information exchange procedures for establishing and maintaining the arrangement. Figure 1 presents the relationship between the principles, the framework and the process.
Figure 1—Relationship between principles, framework and process
1 Scope
This document gives guidelines for information exchange. It includes principles, a framework and a process for information exchange. It identifies mechanisms for information exchange that allow a participating organization to learn from others’ experiences, mistakes and successes. It can be used to guide the maintenance of the information exchange arrangement in order to increase commitment and engagement. It provides measures that enhance the ability of participating organizations to cope with disruption risk.
This document is applicable to private and public organizations that require guidance on establishing the conditions to support information exchange.
This document does not apply to technical aspects but focuses on methodology issues.
NOTE Legislation can differ from jurisdiction to jurisdiction. It is the user’s responsibility to determine how applicable legal requirements relate to this document.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 22300, Security and resilience — Vocabulary
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 22300 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
sensitive information
information that is protected from public disclosure only because it would have an adverse effect on an individual, organization, national security or public safety
[SOURCE: ISO 22300:2018, 3.244, modified — “individual” has been added.]
Bibliography
| [1] | ISO 22320, Security and resilience — Emergency management — Guidelines for incident management |
| [2] | ISO 22395, Security and resilience — Community resilience — Guidelines for supporting vulnerable persons in an emergency |
| [3] | ISO 22397, Societal security — Guidelines for establishing partnering arrangements |
| [4] | ISO 22398, Societal security — Guidelines for exercises |
| [5] | ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements |
| [6] | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls |
| [7] | ISO/IEC 29115, Information technology — Security techniques — Entity authentication assurance framework |
| [8] | ISO 31000, Risk management — Guidelines |
| [9] | FIRST. Traffic Light Protocol (TLP). FIRST Standards Definitions and Usage Guidance — Version 1.0. Available from [viewed 2019-09-18]: https://www.first.org/tlp/ |