この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力しています。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令第 2 Part の編集規則に従って起草されました ( www.iso.org/directives or www.iec.ch/members_experts/refdocs を参照)
ISO および IEC は、この文書の実装に特許の使用が含まれる可能性があることに注意を促しています。 ISO および IEC は、請求された特許権の証拠、有効性、または適用性に関していかなる立場もとりません。この文書の発行日の時点で、ISO および IEC は、この文書の実装に必要となる可能性のある特許の通知を受け取っていません。ただし、実装者は、これが www.iso.org/patents および https://patents.iec.ch で入手可能な特許データベースから取得できる最新情報を表していない可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易の技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、 www を 参照してください。 .iso.org/iso/foreword.html IEC については、 www.iec.ch/ Understanding-standards を参照してください。
この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
導入
ISO 31000 は、リスクを評価するためのガイドラインと方法論を提供します。この文書で提供される追加のガイダンスは、アイデンティティ管理の分野、特にアイデンティティのリスク管理における ISO 31000:2018 の使用をサポートします。この文書では、ISO 31000 で提供される方法論の手順について詳しく説明し、それらをアイデンティティ関連のリスクの評価に適用する方法を示します。したがって、この文書はアイデンティティ関連リスクの評価のための ISO 31000 の応用です。この文書は、ISO 31000:2018 に関連して使用することを目的としています。
ID が確立されるコンテキストは実装ごとに異なりますが、一貫した要素がいくつかあります。この文書where 特定されている要素を示します。
このドキュメントは、アイデンティティを確立および使用する組織がこれらのアイデンティティによってもたらされるリスクを理解し、これらのリスクを軽減するために何が必要かを判断するのに役立つことを目的としています。これを行う方法により、評価プロセスの出力を、他の ID 管理標準で説明されているプロセスへの入力として使用できるようになりここで, 保証レベルを決定するためのリスクベースのアプローチが規定されています。
1 スコープ
この文書は、ISO 31000:2018 の拡張として、アイデンティティ関連のリスクに関するガイドラインを提供します。より具体的には、ISO 31000 で概要が説明されているプロセスを使用して、アイデンティティ関連のリスクにさらされるプロセスと実装に対するリスク シナリオの提供など、コンテキストの確立とリスクの評価についてユーザーをガイドします。
この文書は、アイデンティティに依存する、またはアイデンティティに関連するプロセスおよびサービスのリスク評価に適用されます。この文書には、配信、テクノロジー、またはセキュリティの一般的な問題に関連するリスクの側面は含まれていません。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO 31000:2018, リスク管理 — ガイドライン
3 用語と定義
この文書の目的としては、ISO 31000 および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1
リスクの特定
リスクを発見、認識、説明するプロセス
注記 1: リスクの特定には、リスク源、事象、その原因、およびその潜在的な結果の特定が含まれます。
注記 2: リスクの特定には、過去のデータ、理論的分析、情報に基づいた専門家の意見、関係者のニーズが含まれる場合があります。
[出典:ISO 31073:2022, 3.3.9]
3.2
リスク分析
リスクの性質を理解し、 リスクのレベルを決定するプロセス (3.5)
注記 1:リスク分析は、リスク評価とリスク処理に関する決定の基礎を提供します。
注記 2: リスク分析にはリスク推定が含まれます。
[出典:ISO 28002:2011, 3.51]
3.3
リスク評価
リスク分析 (3.2) の結果をリスク基準と比較して、リスクが許容できるか許容できるかを判断するプロセス
注記 1:リスク評価は 、リスク治療に関する決定を支援します (3.6) 。
[出典:ISO 31073:2022, 3.3.25]
3.4
リスクアセスメント
リスクの特定 (3.1) 、 リスク分析 (3.2) 、および リスク評価 (3.3) の全体的なプロセス
[出典:ISO 31073:2022, 3.3.8]
3.5
リスクのレベル
リスクまたはリスクの組み合わせの大きさ。結果とその可能性の組み合わせで表現されます。
[出典:ISO 31073:2022, 3.3.22]
3.6
リスク対応
リスクを修正するプロセス
- リスクを引き起こす活動を開始または継続しないことを決定することでリスクを回避する。
- 機会を追求するためにリスクを取る、またはリスクを増大させる。
- リスク源を除去する。
- 可能性を変える。
- 結果を変えること。
- 他の当事者とリスクを共有する(契約およびリスクファイナンスを含む)。そして
- 情報に基づいた選択によってリスクを保持します。
注記 2:マイナスの結果に対処するリスク治療は、「リスク軽減」、「リスク排除」、「リスク予防」、「リスク軽減」と呼ばれることもあります。
注記 3: リスク処理により、新しいリスクが生み出されたり、既存のリスクが修正されたりする可能性があります。
[出典:ISO 31073:2022, 3.3.32]
3.7
リスク管理
リスクを維持および/または修正する措置
注記 1: リスク管理には、リスクを維持および/または修正するプロセス、ポリシー、デバイス、実践、またはその他の条件および/またはアクションが含まれますが、これらに限定されません。
注記 2:リスク管理は、意図された、または想定された変更効果を常に発揮するとは限りません。
[出典:ISO 31073:2022, 3.3.33]
3.8
身元
部分的なアイデンティティ
エンティティに関連する属性のセット
注記 1:エンティティは複数の ID を持つことができます。
注記 2:複数のエンティティが同じ ID を持つことができます。
[出典:ISO/IEC 24760-1:2019, 3.1.2, 修正済み - 「部分的アイデンティティ」は認められた用語に変更されました。エントリの注記 3 は削除されました。]
3.9
身元情報
オプションでアイデンティティ内の関連するメタデータを含む属性の値のセット
注記 1:情報通信技術システムでは、アイデンティティはアイデンティティ情報として存在します。
[出典:ISO/IEC 24760-1:2019, 3.2.4]
3.10
アイデンティティ管理
特定のドメインで知られているアイデンティティのライフサイクルと値、タイプ、およびオプションのメタデータの管理に関与するプロセスとポリシー
注記 1:一般に、アイデンティティ管理は、アイデンティティ情報が処理さwhere 当事者間の対話に関与します。
注記 2:アイデンティティ管理のプロセスとポリシーは、該当するwhere 、特にアイデンティティが管理されるエンティティとアイデンティティ情報当局の間の対話を処理するために、アイデンティティ情報当局の機能をサポートします。
[出典:ISO/IEC 24760-1:2019, 3.4.1]
3.11
個人情報の盗難
偽りの身元主張が成功した結果
[出典:ISO/IEC 24760-3:2016, 3.4]
参考文献
| 1 | ISO 9000:2015, 品質マネジメントシステム - 基礎と用語 |
| 2 | ISO/TR 23644, ブロックチェーンおよび分散台帳技術 (DLT) — DLT ベースの ID 管理のためのトラスト アンカーの概要 |
| 3 | ISO/IEC 24760-1:2019, IT セキュリティとプライバシー — アイデンティティ管理のフレームワーク — Part 1: 用語と概念 |
| 4 | ISO/IEC 24760-2:2015, 情報技術 — セキュリティ技術 — ID 管理のフレームワーク — Part 2: リファレンス アーキテクチャと要件 |
| 5 | ISO/IEC 24760-3:2016, 情報技術 — セキュリティ技術 — ID 管理のフレームワーク — Part 3: 実践 |
| 6 | ISO/IEC 27005, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ リスクの管理に関するガイダンス |
| 7 | ISO 28002:2011, サプライ チェーンのセキュリティ管理システム - サプライ チェーンの回復力の開発 - 使用に関するガイダンスを含む要件 |
| 8 | ISO/IEC TS 29003:2018, 情報技術 — セキュリティ技術 — ID 証明 |
| 9 | ISO/IEC 29115:2013, 情報技術 - セキュリティ技術 - エンティティ認証保証フレームワーク |
| 10 | ISO/IEC 29134:2023, 情報技術 - セキュリティ技術 - プライバシー影響評価のガイドライン |
| 11 | IEC 31010:2019, リスク管理 — リスク評価手法 |
| 12 | ISO 31073:2022, リスク管理 — 語彙 |
| 13 | ニュージーランドのアイデンティティ関連リスク評価ガイドライン |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives or www.iec.ch/members_experts/refdocs ).
ISO and IEC draw attention to the possibility that the implementation of this document may involve the use of (a) patent(s). ISO and IEC take no position concerning the evidence, validity or applicability of any claimed patent rights in respect thereof. As of the date of publication of this document, ISO and IEC had not received notice of (a) patent(s) which may be required to implement this document. However, implementers are cautioned that this may not represent the latest information, which may be obtained from the patent database available at www.iso.org/patents and https://patents.iec.ch . ISO and IEC shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html . In the IEC, see www.iec.ch/understanding-standards .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
Introduction
ISO 31000 provides guidelines and a methodology for assessing risk. The additional guidance provided in this document supports the use of ISO 31000:2018 in the field of identity management, in particular for the risk management for identities. This document elaborates on the steps in the methodology provided in ISO 31000, demonstrating how to apply them to the assessment of identity-related risk. Therefore, this document is an application of ISO 31000 for the assessment of identity-related risk. This document is intended to be used in connection with ISO 31000:2018.
While the contexts in which identities are established differ between implementations, there are some elements that are consistent. This document presents those elements where they have been identified.
This document is intended to help organizations establishing and using identities to understand the risks posed by these identities, in order to determine what is needed to mitigate these risks. The manner in which this is done enables the output of the assessment process to be used as an input into processes which are described in other identity management standards ここで, a risk-based approach is specified for determining levels of assurance.
1 Scope
This document provides guidelines for identity-related risk, as an extension of ISO 31000:2018. More specifically, it uses the process outlined in ISO 31000 to guide users in establishing context and assessing risk, including providing risk scenarios for processes and implementations that are exposed to identity-related risk.
This document is applicable to the risk assessment of processes and services that rely on or are related to identity. This document does not include aspects of risk related to general issues of delivery, technology or security.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO 31000:2018, Risk management — Guidelines
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 31000 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1
risk identification
process of finding, recognizing and describing risks
Note 1 to entry: Risk identification involves the identification of risk sources, events, their causes and their potential consequences.
Note 2 to entry: Risk identification can involve historical data, theoretical analysis, informed and expert opinions, and interested parties’ needs.
[SOURCE:ISO 31073:2022, 3.3.9]
3.2
risk analysis
process to comprehend the nature of risk and to determine the level of risk (3.5)
Note 1 to entry: Risk analysis provides the basis for risk evaluation and decisions about risk treatment.
Note 2 to entry: Risk analysis includes risk estimation.
[SOURCE:ISO 28002:2011, 3.51]
3.3
risk evaluation
process of comparing the results of risk analysis (3.2) with risk criteria to determine whether the risk is acceptable or tolerable
Note 1 to entry: Risk evaluation assists in the decision about risk treatment (3.6) .
[SOURCE:ISO 31073:2022, 3.3.25]
3.4
risk assessment
overall process of risk identification (3.1) , risk analysis (3.2) and risk evaluation (3.3)
[SOURCE:ISO 31073:2022, 3.3.8]
3.5
level of risk
magnitude of a risk or combination of risks, expressed in terms of the combination of consequences and their likelihood
[SOURCE:ISO 31073:2022, 3.3.22]
3.6
risk treatment
process to modify risk
- avoiding the risk by deciding not to start or continue with the activity that gives rise to the risk;
- taking or increasing risk in order to pursue an opportunity;
- removing the risk source;
- changing the likelihood;
- changing the consequences;
- sharing the risk with another party or parties (including contracts and risk financing); and
- retaining the risk by informed choice.
Note 2 to entry: Risk treatments that deal with negative consequences are sometimes referred to as “risk mitigation”, “risk elimination”, “risk prevention” and “risk reduction”.
Note 3 to entry: Risk treatment can create new risks or modify existing risks.
[SOURCE:ISO 31073:2022, 3.3.32]
3.7
risk control
measure that maintains and/or modifies risk
Note 1 to entry: Risk controls include, but are not limited to, any process, policy, device, practice, or other conditions and/or actions which maintain and/or modify risk.
Note 2 to entry: Risk controls do not always exert the intended or assumed modifying effect.
[SOURCE:ISO 31073:2022, 3.3.33]
3.8
identity
partial identity
set of attributes related to an entity
Note 1 to entry: An entity can have more than one identity.
Note 2 to entry: Several entities can have the same identity.
[SOURCE:ISO/IEC 24760-1:2019, 3.1.2, modified — “partial identity” has been changed to an admitted term; Note 3 to entry has been removed.]
3.9
identity information
set of values of attributes optionally with any associated metadata in an identity
Note 1 to entry: In an information and communication technology system an identity is present as identity information.
[SOURCE:ISO/IEC 24760-1:2019, 3.2.4]
3.10
identity management
processes and policies involved in managing the lifecycle and value, type and optional metadata of attributes in identities known in a particular domain
Note 1 to entry: In general identity management is involved in interactions between parties where identity information is processed.
Note 2 to entry: Processes and policies in identity management support the functions of an identity information authority where applicable, in particular to handle the interaction between an entity for which an identity is managed and the identity information authority.
[SOURCE:ISO/IEC 24760-1:2019, 3.4.1]
3.11
identity theft
result of a successful false claim of identity
[SOURCE:ISO/IEC 24760-3:2016, 3.4]
Bibliography
| 1 | ISO 9000:2015, Quality management systems — Fundamentals and vocabulary |
| 2 | ISO/TR 23644, Blockchain and distributed ledger technologies (DLTs) — Overview of trust anchors for DLT-based identity management |
| 3 | ISO/IEC 24760-1:2019, IT Security and Privacy — A framework for identity management — Part 1: Terminology and concepts |
| 4 | ISO/IEC 24760-2:2015, Information technology — Security techniques — A framework for identity management — Part 2: Reference architecture and requirements |
| 5 | ISO/IEC 24760-3:2016, Information technology — Security techniques — A framework for identity management — Part 3: Practice |
| 6 | ISO/IEC 27005, Information security, cybersecurity and privacy protection — Guidance on managing information security risks |
| 7 | ISO 28002:2011, Security management systems for the supply chain — Development of resilience in the supply chain — Requirements with guidance for use |
| 8 | ISO/IEC TS 29003:2018, Information technology — Security techniques — Identity proofing |
| 9 | ISO/IEC 29115:2013, Information technology — Security techniques — Entity authentication assurance framework |
| 10 | ISO/IEC 29134:2023, Information technology — Security techniques — Guidelines for privacy impact assessment |
| 11 | IEC 31010:2019, Risk management — Risk assessment techniques |
| 12 | ISO 31073:2022, Risk management — Vocabulary |
| 13 | New Zealand Identity-related Risk Assessment Guidelines |