この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、ISO/IEC 27034-1, ISO/IEC 27034-2, および ISO/IEC 27000 に記載されている用語と定義および以下が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
アプリケーションセキュリティ監査
AS監査
アプリケーションセキュリティ活動の検証から監査証拠を入手し、それを客観的に評価してアプリケーションセキュリティ当局が要求する監査基準がどの程度満たされているかを判断するための、体系的で独立した文書化されたプロセス。
3.2
アプリケーションのセキュリティ検証
関連する検証測定アクティビティを実行することによって、セキュリティ活動の結果をレビューおよび検証するプロセス
注記 1:組織の場合、必要な ONF 要素とセキュリティ活動は ONF 仕様を満たしており、ONF 管理プロセスに準拠しています。
注記 2: アプリケーションの場合、セキュリティー・アクティビティーおよびそれに関連する検証測定アクティビティーは、ASC の一部となる場合があります。
3.3
重要な情報
侵害された場合に許容できないリスクを引き起こす可能性がある情報
3.4
ドメインエキスパート
特定の分野、分野、またはトピックの専門家である人
3.5
危機管理
リスクに関して組織を指揮し制御するための調整された活動
注記 1: この文書では、リスク管理全体を説明するために「プロセス」という用語を使用します。リスク管理プロセス内の要素は「アクティビティ」と呼ばれます。
[出典:ISO Guide 73:2009, 2.1]
参考文献
| 1 | ISO/IEC/IEEE 12207, システムおよびソフトウェア エンジニアリング — ソフトウェア ライフ サイクル プロセス |
| 2 | ISO/IEC 1502, システムおよびソフトウェア エンジニアリング — システムおよびソフトウェアの保証 |
| 3 | ISO/IEC/IEEE 15288, システムおよびソフトウェア エンジニアリング - ソフトウェア ライフ サイクル プロセス |
| 4 | ISO/IEC/IEEE 15289, システムおよびソフトウェアエンジニアリング - システムおよびソフトウェアのライフサイクルプロセス情報製品の内容 (ドキュメント) |
| 5 | ISO/IEC 21827, 情報技術 — セキュリティ技術 — システム セキュリティ エンジニアリング — 能力成熟度モデル® (SSE-CMM®) |
| 6 | ISO/IEC/IEEE 24765, システムおよびソフトウェアエンジニアリング — 語彙 |
| 7 | ISO/IEC 26514, システムおよびソフトウェアエンジニアリング — ユーザードキュメントの設計者および開発者に対する要件 |
| 8 | ISO/IEC 27001, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| 9 | ISO/IEC 27002, 情報技術 - セキュリティ技術 - 情報セキュリティ管理の実践規範 |
| 10 | ISO/IEC 27005, 情報技術 - セキュリティ技術 - 情報セキュリティ リスク管理 |
| 11 | ISO/IEC/IEEE 29148, ソフトウェアおよびシステムエンジニアリング — ライフサイクルプロセス — 要件エンジニアリング |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 27034-1, ISO/IEC 27034-2, and ISO/IEC 27000 and the following apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
3.1
application security audit
AS audit
systematic, independent and documented process for obtaining audit evidence from the verification of application security activities, and evaluating it objectively to determine the extent to which the audit criteria required by an application security authority are fulfilled
3.2
application security verification
process of reviewing and verifying security activity outcomes by performing the associated verification-measurement activity
Note 1 to entry: For an organization, required ONF elements and security activities meet ONF specifications and are compliant with ONF management process.
Note 2 to entry: For an application, a security activity and its associated verification-measurement activity may be part of an ASC.
3.3
critical information
information which, if compromised, can result in an unacceptable risk
3.4
domain expert
person who is an expert in a particular domain, area or topic
3.5
risk management
coordinated activities to direct and control an organization with regard to risk
Note 1 to entry: This document uses the term “process” to describe risk management overall. The elements within the risk management process are termed “activities”.
[SOURCE:ISO Guide 73:2009, 2.1]
Bibliography
| 1 | ISO/IEC/IEEE 12207, Systems and Software Engineering — Software life cycle process |
| 2 | ISO/IEC 15026 (all parts), Systems and software engineering — Systems and software assurance |
| 3 | ISO/IEC/IEEE 15288, Systems and software engineering — Software Life Cycle Processes |
| 4 | ISO/IEC/IEEE 15289, Systems and software engineering — Content of systems and software life cycle process information products (Documentation) |
| 5 | ISO/IEC 21827, Information technology — Security techniques — Systems Security Engineering — Capability Maturity Model® (SSE-CMM®) |
| 6 | ISO/IEC/IEEE 24765, Systems and software engineering — Vocabulary |
| 7 | ISO/IEC 26514, Systems and software engineering — Requirements for designers and developers of user documentation |
| 8 | ISO/IEC 27001, Information technology — Security techniques — Information security management systems — Requirements |
| 9 | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls |
| 10 | ISO/IEC 27005, Information technology — Security techniques — Information security risk management |
| 11 | ISO/IEC/IEEE 29148, Software and systems engineering — Life cycle processes — Requirements engineering |