/

ISO/IEC 20243-2:2023 情報技術 | ページ 2

※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。

序文

ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。

この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります ( www.iso.org を参照) /directives or www.iec.ch/members_experts/refdocs )

ISO および IEC は、この文書の実装に特許の使用が含まれる可能性があることに注意を促しています。 ISO および IEC は、請求された特許権の証拠、有効性、または適用性に関していかなる立場もとりません。この文書の発行日の時点で、ISO および IEC は、この文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents および https://patents.iec.ch で入手可能な特許データベースから取得できる最新情報を表していない可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。

この文書内で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。

規格の自主的な性質、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、以下を参照してください。 www.iso.org/iso/foreword.html IEC については、 www.iec.ch/ Understanding-standards を参照してください。

この文書は、The Open Group [Open Trusted Technology Provider Standard (O-TTPS) V1.2, Part 2: O-TTPS の評価手順として] によって作成され、その編集規則に従って草案されました。これは、JTC 1 PAS 手順に基づいて、ISO/IEC JTC 1情報技術合同技術委員会によって採択されました。

この第 2 版は、技術的に改訂された第 1 版 (ISO/IEC 20243-2:2018) を取り消し、置き換えます。

主な変更点は以下のとおりです。

  • 明確さや簡潔さを向上させるために、必要に応じて、入門資料、属性の定義、要件など、文書全体で表現が変更されました。
  • 「コンポーネント」の定義は、ハードウェアとソフトウェアの両方を含むことが明確になりました。
  • 「セキュリティクリティカル」の定義が追加されました。
  • PD_DES.01 は必須要件になりました。
  • PD_CFM.04 は必須要件になりました。
  • PD_QAT の属性定義を明確にしました。
  • PD_PSMの属性定義を明確にしました。
  • SE_VAR 要件は大幅に作り直され、再編成され、新しい必須要件が追加され、いくつかの既存の要件が必須になりました。
  • SE_PPR.02 は必須要件になりました。
  • SE_PPR.04 は必須要件になりました。
  • SC_RSM.05 は必須要件になりました。
  • SC_ACC.04 は必須要件になりました。
  • SC_ESS.02 は必須要件になりました。
  • SC_ESS.03 は必須要件になりました。
  • SC_ESS.04 は完全に書き直され、必須要件になりました。
  • SC_BPS.02 は必須要件になりました。
  • SE_STH 要件は大幅に作り直され、再編成され、新しい要件が追加され、既存の要件が必須になりました。
  • SC_CTM.02 は大幅に改訂され、必須要件になりました。
  • SC_MAL.02 は大幅に改訂され、必須要件になりました。

ISO/IEC 20243 シリーズのすべての部品のリストは、ISO および IEC の Web サイトでご覧いただけます。

導入

O-TTPS のPart 2 では、O-TTPS の必須要件への適合性評価を実施する際に評価者が利用する手順が規定されています。 1)

これらの評価手順は、O-TTPS に対する評価の再現性、再現性、客観性を確保することを目的としています。このドキュメントの主な対象読者は評価者ですが、評価を受けている、または評価の準備をしている情報技術 (IT) プロバイダーにもこのドキュメントは役に立つと思われます。

1 スコープ

この文書で定義されている評価手順は、O-TTPS に対する評価の再現性、再現性、客観性を確保することを目的としています。このドキュメントの主な対象読者は評価者ですが、評価を受けている、または評価の準備をしている情報技術 (IT) プロバイダーにもこのドキュメントは役に立つと思われます。

1.1 適合性

Open Group は、サプライ チェーンのセキュリティに関心を持つすべての関係者にとって有用なツールとして、O-TTPS の適合基準、評価手順、認証ポリシーとプログラムを開発し、維持しています。

適合要件と評価手順は、O-TTPS のPart 2: O-TTPS の評価手順で参照できます。

認証により、O-TTPS への適合性が正式に認められ、次のことが可能になります。

  • プロバイダーと実務者は、O-TTPS への適合性を明確に主張し、実証する必要があります。
  • 取得者は、O-TTPS に準拠するプロバイダーを指定して適切に調達する必要があります。

1.2 今後の方向性

O-TTPS, Part 1: 要件と推奨事項を参照してください。

2 規範的参照

この文書には規範的な参照はありません。

3 用語と定義

この文書の目的上、次の用語と定義が適用されます。

するものとしますこの文書に準拠するために実装する必要があり、逸脱が許可されない絶対的な必須要件を示します。 「shall」の代わりに「must」を使用しないでください。 (これにより、文書の要件と外部の法的義務との間の混乱が回避されます。)
してはならない絶対的な除外を示し、実装された場合は不適合を意味します。禁止を表現するために「shall not」の代わりに「may not」を使用しないでください。
すべき他の可能性について言及したり除外したりすることなく、いくつかの可能性の中で特に適切な推奨事項、または特定の行動方針が好ましいが必ずしも必要ではないことを示します。
すべきではありません実装しないことが明示的に推奨されている慣行、または特定の可能性や行動方針が非推奨であるが禁止されていないことを示します。 O-TTPS に準拠するには、要件が実装されている場合に受け入れられる正当な理由を提示する必要があります。
5月実務者の裁量で実装されるオプションの要件を示します。この文脈では、「かもしれない」の代わりに「できる」を使用しないでください。
できる物質的、物理的、または因果関係にかかわらず、可能性と能力の記述に使用されます。

このドキュメント全体を通じて、O-TTPS という用語は、Open Trusted Technology Provider Standard を指す場合に使用されます。

次の条項にリストされている用語は、この文書全体で大文字で表記されます。

3.1

卸売業者

ディストリビューターおよびパススルー再販業者は製品を配布しますが、配布する際に製品を変更したり、製品の物理的構成を強化したりすることはありません。販売代理店とパススルー再販業者には、製品への物理的および論理的アクセスに対するリスクを軽減する責任があります。

3.2

適合性の証拠

組織が宣言した評価範囲内の O TTPS 要件への適合を証明するために、評価を実施する評価者に提出された証拠。

3.3

実装の証拠

選択された代表製品には、必要なプロセスが適用されていることを示すアーティファクトが表示されます。

3.4

O-TTPS 要件

O-TTPS のすべての必須 (つまり Shall) 要件。

3.5

組織

O-TTPS 要件への適合性が評価されているテクノロジー プロバイダー。例: 相手先商標製品製造業者 (OEM)、オリジナル設計製造業者 (ODM)、ハードウェアおよびソフトウェア コンポーネントのサプライヤー、インテグレーター、付加価値再販業者 (VAR)、販売代理店、またはパススルー再販業者。

3.6

パススルーリセラー

パススルー再販業者は製品を配布しますが、配布する際に製品を変更したり、製品の物理的構成を強化したりすることはありません。販売代理店とパススルー再販業者には、製品への物理的および論理的アクセスに対するリスクを軽減する責任があります。

3.7

プロセス証拠

組織が必要なプロセス/手順を定義していることを証明するために必要な証拠/成果物がこの文書にリストされています。

注記 1:プロセス証拠は、プロセスが定義/文書化されていることを示し、実装証拠は、定義/文書化されたプロセス/手順が実装されていることを示します。

3.8

評価の範囲

組織による製品、製品ライン、事業単位、および/または地域の説明。オプションで組織全体を含むこともできます。

3.9

代表的な製品を選定

評価範囲内のすべての製品の代表的なサンプルである製品のセット。

参考文献

1ISO/IEC 指令、 Part 2: 国際規格の構造と草案に関する規則。参照: www.iso.org
2Open Trusted Technology Provider™ Framewor, The Open Group Guid, The Open Group 発行、2021 年 9 月。参照: www.opengroup.org/library/g21c
3Open Trusted Technology Provider™ Framewor, ホワイト ペーパー (W157)、The Open Group 発行、2015 年 11 月。参照: www.opengroup.org/library/w157
4Open Trusted Technology Provider™ Standar, The Open Group によって 2023 年 9 月に発行。参照: http://www.opengroup.org/library/c225-1

Foreword

ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.

The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).

ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents and https://patents.iec.ch . ISO and IEC shall not be held responsible for identifying any or all such patent rights.

Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.

For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT), see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .

This document was prepared by The Open Group [as Open Trusted Technology Provider Standard (O-TTPS) V1.2, Part 2: Assessment Procedures for the O-TTPS] and drafted in accordance with its editorial rules. It was adopted, under the JTC 1 PAS procedure, by Joint Technical Committee ISO/IEC JTC 1, Information technology.

This second edition cancels and replaces the first edition (ISO/IEC 20243-2:2018), which has been technically revised.

The main changes are as follows:

  • Wording has been changed throughout the document, including in introductory materials, attribute definitions and requirements, as necessary to improve clarity and/or concision.
  • The definition of “component” has been clarified to include both hardware and software.
  • A definition for “security-critical” has been added.
  • PD_DES.01 has become a mandatory requirement.
  • PD_CFM.04 has become a mandatory requirement.
  • The attribute definition of PD_QAT has been clarified.
  • The attribute definition of PD_PSM has been clarified.
  • The SE_VAR requirements have been largely reworked and reorganized, with a new mandatory requirement being added and several existing requirements becoming mandatory.
  • SE_PPR.02 has become a mandatory requirement.
  • SE_PPR.04 has become a mandatory requirement.
  • SC_RSM.05 has become a mandatory requirement.
  • SC_ACC.04 has become a mandatory requirement.
  • SC_ESS.02 has become a mandatory requirement.
  • SC_ESS.03 has become a mandatory requirement.
  • SC_ESS.04 has been completely rewritten and has become a mandatory requirement.
  • SC_BPS.02 has become a mandatory requirement.
  • The SE_STH requirements have been largely reworked and reorganized, with a new requirement being added and an existing requirement becoming mandatory.
  • SC_CTM.02 has been revised heavily and has become a mandatory requirement.
  • SC_MAL.02 has been heavily revised and has become a mandatory requirement.

A list of all parts in the ISO/IEC 20243 series can be found on the ISO and IEC websites.

Introduction

Part 2 of the O-TTPS specifies the procedures to be utilized by an assessor when conducting a conformity assessment to the mandatory requirements in the O-TTPS. 1)

These Assessment Procedures are intended to ensure the repeatability, reproducibility, and objectivity of assessments against the O-TTPS. Though the primary audience for this document is the assessor, an Information Technology (IT) provider who is undergoing assessment or preparing for assessment, may also find this document useful.

1 Scope

The Assessment Procedures defined in this document are intended to ensure the repeatability, reproducibility, and objectivity of assessments against the O-TTPS. Though the primary audience for this document is the assessor, an Information Technology (IT) provider who is undergoing assessment or preparing for assessment, may also find this document useful.

1.1 Conformance

The Open Group has developed and maintains conformance criteria, assessment procedures, and a Certification Policy and Program for the O-TTPS as a useful tool for all constituents with an interest in supply chain security.

The conformance requirements and assessment procedures are available in the O-TTPS, Part 2: Assessment Procedures for the O-TTPS.

Certification provides formal recognition of conformance to the O-TTPS, which allows:

  • Providers and practitioners to make and substantiate clear claims of conformance to the O-TTPS
  • Acquirers to specify and successfully procure from providers who conform to the O-TTPS

1.2 Future Directions

Refer to the O-TTPS, Part 1: Requirements and Recommendations.

2 Normative references

There are no normative references in this document.

3 Terms and definitions

For the purposes of this document, the following terms and definitions apply.

ShallIndicates an absolute, mandatory requirement that has to be implemented in order to conform to this document and from which no deviation is permitted. Do not use “must” as an alternative for “shall”. (This will avoid any confusion between the requirements of a document and external statutory obligations.)
Shall notIndicates an absolute preclusion, and if implemented would represent a non-conformity. Do not use “may not” instead of “shall not” to express a prohibition.
ShouldIndicates a recommendation among several possibilities that is particularly suitable, without mentioning or excluding others, or that a certain course of action is preferred but not necessarily required.
Should notIndicates a practice explicitly recommended not to be implemented, or that a certain possibility or course of action is deprecated but not prohibited. To conform to the O-TTPS, an acceptable justification must be presented if the requirement is implemented.
MayIndicates an optional requirement to be implemented at the discretion of the practitioner. Do not use “can” instead of “may” in this context.
CanUsed for statements of possibility and capability, whether material, physical, or causal.

Throughout this document, the term O-TTPS is used when referring to The Open Trusted Technology Provider Standard.

NOTE The terms listed in the following clauses are capitalized throughout this document.

3.1

Distributor

Distributors and Pass-Through Resellers distribute products, but do not modify the product or augment the physical composition of the product as they distribute it. Distributors and Pass-Through Resellers do have responsibility for mitigating risk to the physical and logical access to the product.

3.2

Evidence of Conformance

Evidence submitted to the assessor performing the assessment to demonstrate conformance to the O TTPS Requirements within an Organization’s declared Scope of Assessment.

3.3

Implementation Evidence

Artifacts that show the required process has been applied to the Selected Representative Products.

3.4

O-TTPS Requirements

All of the mandatory (i.e., Shall) requirements in the O-TTPS.

3.5

Organization

A technology provider being assessed for conformance to the O-TTPS Requirements; e.g., Original Equipment Manufacturer (OEM), Original Design Manufacturer (ODM), hardware and software component supplier, integrator, Value-Add Reseller (VAR), Distributor, or Pass-Through Reseller.

3.6

Pass-Through Reseller

Pass-Through Resellers distribute products, but do not modify the product or augment the physical composition of the product as they distribute it. Distributors and Pass-Through Resellers do have responsibility for mitigating risk to the physical and logical access to the product.

3.7

Process Evidence

The evidence/artifacts listed in this document as required to demonstrate that the Organization has the required processes/procedures defined.

Note 1 to entry: The Process Evidence shows they have defined/documented processes, the Implementation Evidence demonstrates that the defined/documented processes/procedures have been implemented.

3.8

Scope of Assessment

A description by the Organization of the products, product lines, business units, and/or geographies, which optionally could encompass an entire organization.

3.9

Selected Representative Product

A set of products that is a representative sample of all the products from within the Scope of Assessment.

Bibliography

1ISO/IEC Directives, Part 2: Rules for the Structure and Drafting of International Standards; refer to: www.iso.org
2Open Trusted Technology Provider™ Framework (O-TTPF), The Open Group Guide (G21C), published by The Open Group, September 2021; refer to: www.opengroup.org/library/g21c
3Open Trusted Technology Provider™ Framework (O-TTPF), White Paper (W157), published by The Open Group, November 2015; refer to: www.opengroup.org/library/w157
4Open Trusted Technology Provider™ Standard (O-TTPS) – Mitigating Maliciously Tainted and Counterfeit Products, Part 1: Requirements and Recommendations, Version 1.2, a standard of The Open Group (C185-1), published by The Open Group, September2023; refer to: http://www.opengroup.org/library/c225-1

ISO PDF プレビュー