この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。情報技術の分野では、ISO と IEC は共同技術委員会 ISO/IEC JTC 1 を設立しました。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受け取った特許宣言の ISO リストに記載されます ( www.iso.org/patents を 参照)
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
適合性評価に関連する ISO 固有の用語や表現の意味の説明、および貿易の技術的障壁 (TBT) における WTO 原則への ISO の準拠に関する情報については、次の URL を参照してください。 序文 - 補足情報
この文書を担当する委員会は、ISO/IEC JTC 1, 情報技術、SC 27, IT セキュリティ技術です。
ISO/IEC 24760は、「情報技術 - セキュリティ技術 - アイデンティティ管理のフレームワーク」という一般タイトルのもと、次の部分で構成されています。
- Part 1: 用語と概念
- Part 2: リファレンス アーキテクチャと要件
- Part 3: 実践
序章
データ処理システムは通常、ユーザーに関するさまざまな情報 (人、機器、接続されているソフトウェアなど) を収集し、収集した情報に基づいて意思決定を行います。このような ID ベースの決定は、アプリケーションまたはその他のリソースへのアクセスに関係する場合があります。
ID ベースの意思決定を行うシステムを効率的かつ効果的に実装する必要性に対処するために、ISO/IEC 24760 では、個人、組織、または個人や組織に代わって動作する情報技術コンポーネントを特徴付けるために役立つデータの発行、管理、および使用のためのフレームワークを指定しています。
多くの組織にとって、組織プロセスのセキュリティを維持するには、ID 情報を適切に管理することが重要です。個人にとっては、プライバシーを保護するために正しいアイデンティティ管理が重要です。
ISO/IEC 24760 のこの部分では、情報システムがビジネス、契約、規制、法的義務を遵守できるように、情報システム管理を実現することを目的として、アイデンティティ管理の基本概念と運用構造を規定しています。
ISO/IEC 24760 のこの部分では、アイデンティティ管理の実践方法が示されています。これらの実践は、アイデンティティ情報の使用の制御、アイデンティティ情報およびアイデンティティ情報に基づくその他のリソースへのアクセスの制御、およびアイデンティティ管理システムの確立および維持時に実装されるべき目標の制御における保証をカバーします。
ISO/IEC 24760 のこの部分は次の部分で構成されます。
- ISO/IEC 24760-1: 用語と概念。
- ISO/IEC 24760-2: 参照アーキテクチャと要件。
- ISO/IEC 24760-3: 実践。
ISO/IEC 24760 は、次のような他のアイデンティティ管理関連の国際標準の基盤を提供することを目的としています。
- ISO/IEC 29100, プライバシーフレームワーク。
- ISO/IEC 29101, プライバシー参照アーキテクチャ。
- ISO/IEC 29115, エンティティ認証保証フレームワーク。
- ISO/IEC 29146, アクセス管理のフレームワーク。
1 スコープ
ISO/IEC 24760 のこの部分は、アイデンティティ情報の管理と、アイデンティティ管理システムが ISO/IEC 24760-1 および ISO/IEC 24760-2 に準拠していることを確認するためのガイダンスを提供します。
ISO/IEC 24760 のこの部分は、エンティティの識別または認証の目的、および/またはエンティティの属性を使用した意思決定の目的で、エンティティに関連する識別子または PII が取得、処理、保存、転送または使用されるアイデンティティ管理システムwhere 適用されます。 ID 管理の実践は、他の標準でも扱うことができます。
2 規範的参照
以下の文書は、全部または一部がこの文書で規範的に参照されており、その適用には不可欠です。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 24760-1, 情報技術 - セキュリティ技術 - ID 管理のフレームワーク - Part 1: 用語と概念
3 用語と定義
この文書の目的上、ISO/IEC 24760-1 および以下に示されている用語と定義が適用されます。
3.1
アイデンティティ管理システム
メタデータを含むアイデンティティ情報を維持するためのポリシー、手順、テクノロジー、およびその他のリソースで構成されるシステム
[出典:ISO/IEC 24760‑2:2015, 3.3]
3.2
アイデンティティプロファイル
ID テンプレートで指定された属性を含む ID
3.3
アイデンティティテンプレート
特定の属性セットの定義
注記 1:通常、プロファイル内の属性は、依存当事者の必要に応じて、特定の技術的またはビジネス上の目的をサポートするためのものです。
3.4
個人情報の盗難
身元偽りの主張が成功した結果
3.5
連盟マネージャー
連合の運営から生じる問題の管理を担当する連合内の関係者
注記 1:既存のフェデレーション・メンバーまたは独立した第三者がフェデレーション・マネージャーの役割を実行できます。
3.6
主要
ID 管理システム内で ID 情報が関係するエンティティ
[出典:ISO/IEC 24760‑2:2015, 3.4]
参考文献
| 1 | ISO/IEC 27002, 情報技術 - セキュリティ技術 - 情報セキュリティ管理の実践規範 |
| 2 | ISO/IEC 27018, 情報技術 - セキュリティ技術 - PII プロセッサとして機能するパブリック クラウドにおける個人識別情報 (PII) の保護に関する実践規範 |
| 3 | ISO/IEC 29003, 情報技術 - セキュリティ技術 - ID 証明 |
| 4 | ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| 5 | ISO/IEC 29101, 情報技術 - セキュリティ技術 - プライバシー アーキテクチャ フレームワーク |
| 6 | ISO/IEC 29115, 情報技術 - セキュリティ技術 - エンティティ認証保証フレームワーク |
| 7 | ISO/IEC 29134, 情報技術 - セキュリティ技術 - プライバシー影響評価 - ガイドライン |
| 8 | ISO/IEC 29146, 情報技術 - セキュリティ技術 - アクセス管理のフレームワーク |
| 9 | ISO/IEC 29151, 情報技術 - セキュリティ技術 - 個人を特定できる情報の保護に関する実践規範 |
| 11 | ヤン・カメニッシュ、ヨアニス・クロンティリス、アンニャ・レーマン、グレゴリー・ネヴェン、クリスチャン・パキン、ハラルド・ツヴィンゲルベルク。 「属性ベースの認証技術のための D2.1 アーキテクチャ」、2011 https://abc4trust.eu/index.php/pub/107-d21architecturev1 (2014 年 1 月 2 日にアクセス) |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of information technology, ISO and IEC have established a joint technical committee, ISO/IEC JTC 1.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation on the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the WTO principles in the Technical Barriers to Trade (TBT) see the following URL: Foreword - Supplementary information
The committee responsible for this document is ISO/IEC JTC 1, Information technology, SC 27, IT Security techniques.
ISO/IEC 24760 consists of the following parts, under the general title Information technology — Security techniques — A framework for identity management
- Part 1: Terminology and concepts
- Part 2: Reference architecture and requirements
- Part 3: Practice
Introduction
Data processing systems commonly gather a range of information on their users, be it a person, piece of equipment, or piece of software connected to it and make decisions based on the gathered information. Such identity-based decisions may concern access to applications or other resources.
To address the need to efficiently and effectively implement systems that make identity-based decisions, ISO/IEC 24760 specifies a framework for the issuance, administration, and use of data that serves to characterize individuals, organizations or information technology components, which operate on behalf of individuals or organizations.
For many organizations, the proper management of identity information is crucial to maintain security of the organizational processes. For individuals, correct identity management is important to protect privacy.
This part of ISO/IEC 24760 specifies fundamental concepts and operational structures of identity management with the purpose to realize information system management, so that information systems can meet business, contractual, regulatory and legal obligations.
This part of ISO/IEC 24760 presents practices for identity management. These practices cover assurance in controlling identity information use, controlling the access to identity information and other resources based on identity information, and controlling objectives that should be implemented when establishing and maintaining an identity management system.
This part of ISO/IEC 24760 consists of the following parts:
- ISO/IEC 24760-1: Terminology and concepts;
- ISO/IEC 24760-2: Reference architecture and requirements;
- ISO/IEC 24760-3: Practice.
ISO/IEC 24760 is intended to provide foundations for other identity management related International Standards including the following:
- ISO/IEC 29100, Privacy framework;
- ISO/IEC 29101, Privacy reference architecture;
- ISO/IEC 29115, Entity authentication assurance framework;
- ISO/IEC 29146, A framework for access management.
1 Scope
This part of ISO/IEC 24760 provides guidance for the management of identity information and for ensuring that an identity management system conforms to ISO/IEC 24760-1 and ISO/IEC 24760-2.
This part of ISO/IEC 24760 is applicable to an identity management system where identifiers or PII relating to entities are acquired, processed, stored, transferred or used for the purposes of identifying or authenticating entities and/or for the purpose of decision making using attributes of entities. Practices for identity management can also be addressed in other standards.
2 Normative references
The following documents, in whole or in part, are normatively referenced in this document and are indispensable for its application. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 24760-1, Information technology — Security techniques — A framework for identity management — Part 1: Terminology and concepts
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 24760-1 and the following apply.
3.1
identity management system
system comprising of policies, procedures, technology and other resources for maintaining identity information including meta data
[SOURCE:ISO/IEC 24760‑2:2015, 3.3]
3.2
identity profile
identity containing attributes specified by an identity template
3.3
identity template
definition of a specific set of attributes
Note 1 to entry: Typically, the attributes in a profile are to support a particular technical or business purpose as needed by relying parties.
3.4
identity theft
result of a successful false claim of identity
3.5
federation manager
actor in a federation responsible for managing the issues arising from the operation of the federation
Note 1 to entry: An existing federation member or an independent third party can carry out the role of federation manager.
3.6
principal
entity to which identity information in an identity management system pertains
[SOURCE:ISO/IEC 24760‑2:2015, 3.4]
Bibliography
| 1 | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls |
| 2 | ISO/IEC 27018, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors |
| 3 | ISO/IEC 29003, Information technology — Security techniques — Identity proofing |
| 4 | ISO/IEC 29100, Information technology — Security techniques — Privacy framework |
| 5 | ISO/IEC 29101, Information technology — Security techniques — Privacy architecture framework |
| 6 | ISO/IEC 29115, Information technology — Security techniques — Entity authentication assurance framework |
| 7 | ISO/IEC 29134, Information technology — Security techniques — Privacy impact assessment – Guidelines |
| 8 | ISO/IEC 29146, Information technology — Security techniques — A framework for access management |
| 9 | ISO/IEC 29151, Information technology — Security techniques — Code of practice for personally identifiable information protection |
| 11 | Jan Camenisch, Ioannis Krontiris, Anja Lehmann, Gregory Neven, Christian Paquin, and Harald Zwingelberg. “D2.1 Architecture for Attribute-based Credential Technologies,” 2011 https://abc4trust.eu/index.php/pub/107-d21architecturev1 (accessed 2014-01-02) |