この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
序文
ISO (国際標準化機構) と IEC (国際電気標準会議) は、世界標準化のための専門システムを形成しています。 ISO または IEC のメンバーである各国団体は、特定の技術活動分野に対処するためにそれぞれの組織によって設立された技術委員会を通じて国際規格の開発に参加しています。 ISO と IEC の技術委員会は、相互に関心のある分野で協力します。政府および非政府の他の国際機関も、ISO および IEC と連携してこの作業に参加しています。
この文書の作成に使用される手順と、そのさらなる保守を目的とした手順は、ISO/IEC 指令Part 1 部に記載されています。特に、さまざまなタイプの文書に必要なさまざまな承認基準に注意する必要があります。この文書は、ISO/IEC 指令Part 2 部の編集規則に従って起草されました ( www.iso.org/directives を参照)
この文書の要素の一部が特許権の対象となる可能性があることに注意してください。 ISO および IEC は、そのような特許権の一部またはすべてを特定する責任を負わないものとします。文書の作成中に特定された特許権の詳細は、序論および/または受領した特許宣言の ISO リスト ( www.iso.org/patents を参照)、または受領した特許宣言の IEC リスト ( http://patents.iec.ch を参照) に記載されます。
本書で使用されている商号は、ユーザーの便宜のために提供された情報であり、推奨を構成するものではありません。
規格の自主的な性質の説明、適合性評価に関連する ISO 固有の用語と表現の意味、および貿易技術的障壁 (TBT) における世界貿易機関 (WTO) 原則への ISO の準拠に関する情報については、 www.iso.org/iso/foreword.html を参照してください。
この文書は、ISO/IEC JTC 1 合同技術委員会、情報技術、分科会 SC 27, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護によって作成されました。
この第 2 版は、技術的に改訂された第 1 版 (ISO/IEC 30111:2013) を廃止し、置き換えます。前版との主な変更点は以下の通りです。
- 多くの規範規定が修正または追加されました (付録 A に要約されています)
- 明確化および ISO/IEC 29147:2018 との調和を図るために、組織および編集上の変更が行われました。
この文書は ISO/IEC 29147 で使用することを目的としています。
導入
この文書では、ベンダーが製品やサービスの潜在的な脆弱性の報告を処理するプロセスについて説明します。
このドキュメントの対象者には、情報技術製品とサービスの開発者、ベンダー、評価者、およびユーザーが含まれます。このドキュメントは次の読者が使用できます。
- ベンダーと開発者、実際の脆弱性または潜在的な脆弱性の報告に対応する場合。
- 評価者は、ベンダーおよび開発者の脆弱性処理プロセスによって提供されるセキュリティ保証を評価する際に使用します。そして
- ユーザーは、開発者、ベンダー、インテグレーターに調達要件を表明します。
この文書は、潜在的な脆弱性レポートを受け取った時点および脆弱性修復情報を配布した時点で ISO/IEC 29147 と統合されます (5.1 を参照)
他の規格との関係は第 5 項に記載されています。
1 スコープ
このドキュメントでは、製品またはサービスで報告された潜在的な脆弱性を処理および修復する方法に関する要件と推奨事項を提供します。
この文書は、脆弱性の処理に関与するベンダーに適用されます。
2 規範的参照
以下の文書は、その内容の一部またはすべてがこの文書の要件を構成する形で本文中で参照されています。日付が記載された参考文献については、引用された版のみが適用されます。日付のない参照については、参照文書の最新版 (修正を含む) が適用されます。
- ISO/IEC 27000, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 概要と用語
- ISO/IEC 29147:2018, 情報技術 - セキュリティ技術 - 脆弱性の開示
3 用語と定義
この文書の目的のために、ISO/IEC 27000 および ISO/IEC 29147 で与えられる用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
参考文献
| 1 | ISO/IEC 2703, 情報技術 - アプリケーション セキュリティ |
| 2 | ISO/IEC 27036-3, 情報技術 — セキュリティ技術 — サプライヤー関係のための情報セキュリティ — Part 3: 情報および通信技術のサプライ チェーン セキュリティに関するガイドライン |
| 3 | ISO/IEC 15408-3, 情報技術 - セキュリティ技術 - IT セキュリティの評価基準 - Part 3: セキュリティ保証コンポーネント |
| 4 | 製品セキュリティ インシデント対応チーム (PSIRT) サービス フレームワーク バージョン 1. < https://www.first.org/education/FIRST_PSIRT_Services_Framework_v1.0.pdf > で入手可能 |
| 5 | ISO/IEC 19770-2, 情報技術 - IT 資産管理 - Part 2: ソフトウェア識別タグ |
| 6 | ISO 28001, サプライチェーンのセキュリティ管理システム — サプライチェーンのセキュリティ、評価、計画を実装するためのベストプラクティス — 要件とガイダンス |
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical Commission) form the specialized system for worldwide standardization. National bodies that are members of ISO or IEC participate in the development of International Standards through technical committees established by the respective organization to deal with particular fields of technical activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the work.
The procedures used to develop this document and those intended for its further maintenance are described in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types of document should be noted. This document was drafted in accordance with the editorial rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives ).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent rights. ISO and IEC shall not be held responsible for identifying any or all such patent rights. Details of any patent rights identified during the development of the document will be in the Introduction and/or on the ISO list of patent declarations received (see www.iso.org/patents ) or the IEC list of patent declarations received (see http://patents.iec.ch ).
Any trade name used in this document is information given for the convenience of users and does not constitute an endorsement.
For an explanation of the voluntary nature of standards, the meaning of ISO specific terms and expressions related to conformity assessment, as well as information about ISO's adherence to the World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see www.iso.org/iso/foreword.html .
This document was prepared by Joint Technical Committee ISO/IEC JTC 1, Information technology, Subcommittee SC 27, Information security, cybersecurity and privacy protection.
This second edition cancels and replaces the first edition (ISO/IEC 30111:2013), which has been technically revised. The main changes compared to the previous edition are as follows:
- a number of normative provisions have been revised or added (summarized in Annex A);
- organizational and editorial changes have been made for clarity and harmonization with ISO/IEC 29147:2018.
This document is intended to be used with ISO/IEC 29147.
Introduction
This document describes processes for vendors to handle reports of potential vulnerabilities in products and services.
The audience for this document includes developers, vendors, evaluators, and users of information technology products and services. The following audiences can use this document:
- developers and vendors, when responding to actual or potential vulnerability reports;
- evaluators, when assessing the security assurance afforded by vendors’ and developers’ vulnerability handling processes; and
- users, to express procurement requirements to developers, vendors and integrators.
This document is integrated with ISO/IEC 29147 at the point of receiving potential vulnerability reports and at the point of distributing vulnerability remediation information (see 5.1).
Relationships to other standards are noted in Clause 5.
1 Scope
This document provides requirements and recommendations for how to process and remediate reported potential vulnerabilities in a product or service.
This document is applicable to vendors involved in handling vulnerabilities.
2 Normative references
The following documents are referred to in the text in such a way that some or all of their content constitutes requirements of this document. For dated references, only the edition cited applies. For undated references, the latest edition of the referenced document (including any amendments) applies.
- ISO/IEC 27000, Information technology — Security techniques — Information security management systems — Overview and vocabulary
- ISO/IEC 29147:2018, Information technology — Security techniques — Vulnerability disclosure
3 Terms and definitions
For the purposes of this document, terms and definitions given in ISO/IEC 27000 and ISO/IEC 29147 apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
Bibliography
| 1 | ISO/IEC 27034 (all parts), Information technology — Application security |
| 2 | ISO/IEC 27036-3, Information technology — Security techniques — Information security for supplier relationships — Part 3: Guidelines for information and communication technology supply chain security |
| 3 | ISO/IEC 15408-3, Information technology — Security techniques — Evaluation criteria for IT security — Part 3: Security assurance components |
| 4 | Product Security Incident Response Team (PSIRT) Services Framework Version 1.0. Available at < https://www.first.org/education/FIRST_PSIRT_Services_Framework_v1.0.pdf > |
| 5 | ISO/IEC 19770-2, Information technology — IT asset management — Part 2: Software identification tag |
| 6 | ISO 28001, Security management systems for the supply chain — Best practices for implementing supply chain security, assessments and plans — Requirements and guidance |