この規格 プレビューページの目次
※一部、英文及び仏文を自動翻訳した日本語訳を使用しています。
3 用語と定義
この文書の目的上、ISO/IEC 22123-1 および以下に示されている用語と定義が適用されます。
ISO と IEC は、標準化に使用する用語データベースを次のアドレスで維持しています。
3.1 監査と評価の使用に関する用語
3.1.1
保証
製品、プロセス、またはサービスが指定された要件を満たしているという確信を与える声明をもたらす活動
[出典:ISO/IEC Guide 2, 15.1]
3.1.2
認証
決定に基づいて、指定された要件の履行が実証されたという声明の発行
注記 1:ソース文書では「適合宣言」と呼ばれる結果の宣言は、指定された要件が満たされていることの 保証 (3.1.1) を伝えることを目的としています。このような 保証 (3.1.1) 自体は、契約上の保証またはその他の法的保証を提供するものではありません。
注記 2:第一者認証と第三者認証は、宣言、 認証 (3.1.4) および認定という用語によって区別されますが、第二者認証に適用される対応する用語はありません。
[出典:ISO/IEC 17000:2020, 7.3]
3.1.3
認可
指定されたアクティビティへのアクセスを許可する権限
[出典:ISO 11442:2006, 3.5]
3.1.4
認証
適合性評価 (3.1.6) の対象に関連する第三者 認証 (3.1.2) (認定を除く)
[出典:ISO/IEC 17000:2020, 7.6]
3.1.5
認証監査
クライアントのマネジメントシステムを認証する目的で、クライアントおよび 認証(3.1.4) に依存する当事者から独立した監査組織によって実行される 監査(3.2.2)
注記 1:以下の定義では、簡単にするために、「監査」という用語は第三者による認証監査を指すために使用されています。
注記 2: 認証監査には、初回、監視、再認証監査が含まれ、特別な監査も含まれる場合があります。
注記 3:認証監査は通常、マネジメントシステム規格の要件への適合性の 認証 (3.1.4) を提供する機関の監査チームによって実施されます。
注記 4: 共同監査 (3.2.11) とは、2 つ以上の監査組織が協力して単一の顧客を監査することです。
注記 5: 結合監査 (3.2.9) とは、クライアントが 2 つ以上のマネジメントシステム規格の要件に照らして同時に監査される場合を指します。
注記 6: 統合監査とは、顧客が 2 つ以上のマネジメントシステム規格の要件の適用を単一のマネジメントシステムに統合し、複数の規格に照らして監査される場合を指します。
[出典:ISO/IEC 17021-1:2015, 3.4]
3.1.6
適合性評価
指定された要件が満たされていることを証明する
注記 1:付属書 A の機能的アプローチに記載されている適合性評価の プロセス (3.1.8) は 、否定的な結果、すなわち、指定された要件が満たされていないことを示す可能性があります。
注記 2:適合性評価には、テスト、検査、検証、検証、 認証 (3.1.4) 、認定など、原文書の他の場所で定義されている活動が含まれますが、これらに限定されません。
注記 3:適合性評価は、附属書 A で一連の機能として説明されています。これらの機能のいずれかに貢献する活動は、適合性評価活動として説明できます。
注記 4: 原文書には「適合性」の定義が含まれていない。 「適合性評価」の定義には「適合性」は含まれていません。また、ソース文書ではコンプライアンスの概念についても言及していません。
[出典:ISO/IEC 17000:2020, 4.1]
3.1.7
コンプライアンス
準拠した
標準またはその他の公開された一連の要件の該当するすべての要件を満たす、または超える
[出典:ISO/TR 19591:2018, 3.60]
3.1.8
プロセス
入力を使用して意図した結果を提供する、相互に関連するまたは相互作用する一連のアクティビティ
[出典:ISO 19011, 3.24]
3.2 クラウドサービス監査に関する用語
3.2.1
評価
行動方針を決定するために結果を収集および分析するプロセス
3.2.2
監査
客観的な証拠(3.2.12) を入手し、それを客観的に評価して監査基準がどの程度満たされているかを判断するための、体系的で独立した文書化された プロセス(3.1.8)
注記 1: 内部監査 (3.2.10) は 、第一者監査とも呼ばれ、組織自体によって、または組織自体を代表して実施されます。
注記 2: 外部監査には、一般に第 2 者監査および第 3 者監査と呼ばれるものが含まれます。第 2 者監査は、顧客など組織に利害関係を持つ当事者、またはその代理人である他の個人によって実施されます。第三者監査は 、認証 (3.1.4) / 適合性登録を行う機関や政府機関などの独立した監査機関によって実施されます。
[出典:ISO 19011:2018, 3.1]
3.2.3
クラウドサービス監査
1 つ以上のクラウド サービスの提供と使用の 監査 (3.2.2)
注記 1: クラウド・サービスの監査には、クラウドの特性、クラウドの導入、横断的な側面、および関連する管理およびセキュリティー機能が含まれる場合があります。
3.2.4
監査クライアント
監査を要求する組織または個人 (3.2.2)
注記 1: 内部監査 (3.2.10) の場合、監査依頼者は 被監査者 (3.2.7) または監査プログラムを管理する個人になることもできます。外部監査の要求は、規制当局、契約当事者、潜在的または既存の顧客などの情報源から送信される場合があります。
[出典:ISO 19011:2018, 3.12]
3.2.5
監査プログラム
特定の期間に計画され、特定の目的に向けられた 1 つ以上の一連の 監査 (3.2.2) の取り決め
[出典:ISO 19011:2018, 3.4]
3.2.6
監査範囲
監査の範囲と境界 (3.2.2)
注記 1: 監査範囲には、通常、対象となる期間だけでなく、物理的および仮想的な場所、機能、組織単位、活動、およびプロセスの説明が含まれます。
注記 2: 仮想ロケーションとは、組織がオンライン環境を使用して作業を行ったりサービスを提供したりするwhere であり、物理的な場所に関係なく個人がプロセスを実行できるようにします。
[出典:ISO 19011:2018, 3.5]
3.2.7
監査人
監査対象の組織全体またはその一部
[出典:ISO 19011:2018, 3.13]
3.2.8
監査人
監査を実施する者(3.2.2)
[出典:ISO 9000:2015, 3.13.15]
3.2.9
結合監査
監査 (3.2.1) は 2 つ以上の管理システム上で単一の 監査人 (3.2.7) によって同時に実行されます。
注記 1: 2 つ以上の専門分野固有の管理システムが 1 つの管理システムに統合されている場合、これは統合管理システムとして知られています。
[出典:ISO 9000:2015, 3.13.2, 修正済み]
3.2.10
内部監査
監査(3.2.2)は 、マネジメントレビューやその他の内部目的のために組織自体によって、またはその代理として実施され、組織の自己適合宣言の基礎を形成することができます。
注記 1:多くの場合、特に小規模な組織では、監査対象の活動に対する責任から解放されることで独立性を証明できます。
[出典:ISO 22300:2021, 3.1.134]
3.2.11
共同監査
2 つ以上の監査組織によって単一の 被監査者 (3.2.7) に対して実施される 監査 (3.2.2)
[出典:ISO 9000:2015, 3.13.3]
3.2.12
客観的な証拠
何かの存在または真実性を裏付けるデータ
注記 1:客観的な証拠は、観察、測定、試験、またはその他の手段によって入手できます。
注記 2: 監査目的の客観的証拠 (3.2.2) は、一般に、監査基準に関連し検証可能な記録、事実の陳述、またはその他の情報で構成されます。
[出典:ISO 9000:2015, 3.8.3]
3.2.13
パーティー
法人かどうかを問わない自然人または法人、またはそのいずれかのグループ
[出典:ISO/IEC 22123-1:2021, 3.4.1]
参考文献
| 1 | ISO 9000:2015, 品質マネジメントシステム - 基礎と用語 |
| 2 | ISO/IEC 17000:2020, 適合性評価 - 語彙および一般原則 |
| 3 | ISO/IEC 17021-1:2015, 適合性評価 — マネジメントシステムの監査および認証を提供する機関の要件 — Part 1: 要件 |
| 4 | ISO/IEC 17789:2014, 情報技術 — クラウド コンピューティング — リファレンス アーキテクチャ |
| 5 | ISO 19011:2018, マネジメントシステム監査のガイドライン |
| 6 | ISO/IEC 19086-1:2016, 情報テクノロジー — クラウド コンピューティング — サービス レベル アグリーメント (SLA) フレームワーク — Part 1: 概要と概念 |
| 7 | ISO/IEC 19086-2:2018, クラウド コンピューティング — サービス レベル アグリーメント (SLA) フレームワーク — Part 2: メトリクス モデル |
| 8 | ISO/IEC 19941, 情報技術 — クラウド コンピューティング — 相互運用性と移植性 |
| 9 | ISO/IEC TR 22678:2019, 情報技術 — クラウド コンピューティング — ポリシー策定のためのガイダンス |
| 10 | ISO/IEC TS 23167:2020, 情報技術 — クラウド コンピューティング — 一般的なテクノロジーと手法 |
| 11 | ISO/IEC TR 23187, 情報技術 — クラウド コンピューティング — クラウド サービス パートナー (CSN) との対話 |
| 12 | ISO/IEC 27001:2013, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システム - 要件 |
| 13 | ISO/IEC 27002, 情報技術 - セキュリティ技術 - 情報セキュリティ管理の実践規範 |
| 14 | ISO/IEC 27006, 情報技術 - セキュリティ技術 - 情報セキュリティ管理システムの監査および認証を提供する機関の要件 |
| 15 | ISO/IEC TS 27006-2:2021, 情報セキュリティ管理システムの監査および認証を提供する機関の要件 — Part 2: プライバシー情報管理システム |
| 16 | ISO/IEC 27007, 情報セキュリティ、サイバーセキュリティおよびプライバシー保護 — 情報セキュリティ管理システム監査のガイドライン |
| 17 | ISO/IEC TS 27008:2019, 情報技術 - セキュリティ技術 - 情報セキュリティ管理の評価ガイドライン |
| 18 | ISO/IEC 27017, 情報技術 - セキュリティ技術 - クラウド サービス向けの ISO/IEC 27002 に基づく情報セキュリティ管理の実践規範 |
| 19 | ISO/IEC 27018:2019, 情報技術 — セキュリティ技術 — PII プロセッサとして機能するパブリック クラウドにおける個人識別情報 (PII) の保護に関する実践規範 |
| 20 | ISO/IEC 27701, セキュリティ技術 — プライバシー情報管理のための ISO/IEC 27001 および ISO/IEC 27002 の拡張 — 要件とガイドライン |
| 21 | ISO/IEC 29100, 情報技術 - セキュリティ技術 - プライバシー フレームワーク |
| 22 | 内部監査のプロフェッショナルの実践に関する国際基準 (基準)、(IPPF)、北米内部監査人協会 (IIA) https://na.theiia.org/standards-guidance/public%20documents/ippf-standards-2017.pdf |
| 23 | NIST Special Publication (SP) 800-30 Rev.1リスク評価実施ガイド https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf |
| 24 | NIST 特別出版物 (SP) 800-53 Rev.5情報システムおよび組織のセキュリティとプライバシーの管理 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf |
| 25 | NIST 特別出版物 (SP) 800-160 Volume Iシステム セキュリティ エンジニアリング: 信頼できる安全なシステムのエンジニアリングにおける学際的なアプローチに関する考慮事項 https://csrc.nist.gov/publications/detail/sp/800-160/vol-1/final |
| 26 | NIST特別出版物(SP)、2000-01 ABC の適合性評価 https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.2000-01.pdf |
| 27 | NIST 省庁間レポート (IR) 8011-1, セキュリティ制御評価の自動化サポート、第 1 巻 https://csrc.nist.gov/publications/detail/nistir/8011/vol-1/final |
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO/IEC 22123-1 and the following apply.
ISO and IEC maintain terminology databases for use in standardization at the following addresses:
3.1 Terms related to the use of audit and assessment
3.1.1
assurance
activity resulting in a statement giving confidence that a product, process or service fulfils specified requirement
[SOURCE:ISO/IEC Guide 2, 15.1]
3.1.2
attestation
issue of a statement, based on a decision, that the fulfilment of specified requirements has been demonstrated
Note 1 to entry: The resulting statement, referred to in the source document as a “statement of conformity”, is intended to convey the assurance (3.1.1) that the specified requirements have been fulfilled. Such an assurance (3.1.1) does not, of itself, provide contractual or other legal guarantees.
Note 2 to entry: First-party attestation and third party attestation are distinguished by the terms declaration, certification (3.1.4) and accreditation, but there is no corresponding term applicable to second party attestation.
[SOURCE:ISO/IEC 17000:2020, 7.3]
3.1.3
authorization
privileges that give access to designated activities
[SOURCE:ISO 11442:2006, 3.5]
3.1.4
certification
third party attestation (3.1.2) related to an object of conformity assessment (3.1.6) , with the exception of accreditation
[SOURCE:ISO/IEC 17000:2020, 7.6]
3.1.5
certification audit
audit (3.2.2) carried out by an auditing organization independent of the client and the parties that rely on certification (3.1.4) , for the purpose of certifying the client’s management system
Note 1 to entry: In the definitions which follow, the term “audit” has been used for simplicity to refer to third party certification audit.
Note 2 to entry: Certification audits include initial, surveillance, re-certification audits, and can also include special audits.
Note 3 to entry: Certification audits are typically conducted by audit teams of those bodies providing certification (3.1.4) of conformity to the requirements of management system standards.
Note 4 to entry: A joint audit (3.2.11) is when two or more auditing organizations cooperate to audit a single client.
Note 5 to entry: A combined audit (3.2.9) is when a client is being audited against the requirements of two or more management systems standards together.
Note 6 to entry: An integrated audit is when a client has integrated the application of requirements of two or more management systems standards into a single management system and is being audited against more than one standard.
[SOURCE:ISO/IEC 17021-1:2015, 3.4]
3.1.6
conformity assessment
demonstration that specified requirements are fulfilled
Note 1 to entry: The process (3.1.8) of conformity assessment as described in the functional approach in Annex A can have a negative outcome, i.e. demonstrating that the specified requirements are not fulfilled.
Note 2 to entry: Conformity assessment includes activities defined elsewhere in the source document, such as but not limited to testing, inspection, validation, verification, certification (3.1.4) , and accreditation.
Note 3 to entry: Conformity assessment is explained in Annex A as a series of functions. Activities contributing to any of these functions can be described as conformity assessment activities.
Note 4 to entry: The source document does not include a definition of “conformity”. “Conformity” does not feature in the definition of “conformity assessment”. Nor does the source document address the concept of compliance.
[SOURCE:ISO/IEC 17000:2020, 4.1]
3.1.7
compliance
compliant
meeting or exceeding all applicable requirements of a standard or other published set of requirements
[SOURCE:ISO/TR 19591:2018, 3.60]
3.1.8
process
set of interrelated or interacting activities that use inputs to deliver an intended result
[SOURCE:ISO 19011, 3.24]
3.2 Terms related to cloud service audit
3.2.1
assessment
process of collecting and analyzing outcomes to determine course of actions
3.2.2
audit
systematic, independent and documented process (3.1.8) for obtaining objective evidence (3.2.12) and evaluating it objectively to determine the extent to which the audit criteria are fulfilled
Note 1 to entry: Internal audits (3.2.10) , sometimes called first-party audits, are conducted by, or on behalf of, the organization itself.
Note 2 to entry: External audits include those generally called second and third party audits. Second party audits are conducted by parties having an interest in the organization, such as customers, or by other individuals on their behalf. third party audits are conducted by independent auditing organizations, such as those providing certification (3.1.4) /registration of conformity or governmental agencies.
[SOURCE:ISO 19011:2018, 3.1]
3.2.3
cloud service audit
audit (3.2.2) of the provision and use of one or more cloud services
Note 1 to entry: An audit of a cloud service can include cloud characteristics, cloud deployment, cross cutting aspects and related management and security functions.
3.2.4
audit client
organization or person requesting an audit (3.2.2)
Note 1 to entry: In the case of internal audit (3.2.10) , the audit client can also be the auditee (3.2.7) or the individual(s) managing the audit programme. Requests for external audit can come from sources such as regulators, contracting parties or potential or existing clients.
[SOURCE:ISO 19011:2018, 3.12]
3.2.5
audit programme
arrangements for a set of one or more audits (3.2.2) planned for a specific time frame and directed towards a specific purpose
[SOURCE:ISO 19011:2018, 3.4]
3.2.6
audit scope
extent and boundaries of an audit (3.2.2)
Note 1 to entry: the audit scope generally includes a description of the physical and virtual-locations, functions, organizational units, activities, and processes, as well as the time period covered.
Note 2 to entry: A virtual location is where an organization performs work or provides a service using an on-line environment allowing individuals irrespective of physical locations to execute processes.
[SOURCE:ISO 19011:2018, 3.5]
3.2.7
auditee
organization as a whole or parts thereof being audited
[SOURCE:ISO 19011:2018, 3.13]
3.2.8
auditor
person who conducts an audit (3.2.2)
[SOURCE:ISO 9000:2015, 3.13.15]
3.2.9
combined audit
audit (3.2.1) carried out together at a single auditee (3.2.7) on two or more management systems
Note 1 to entry: When two or more discipline-specific management systems are integrated into a single management system this is known as an integrated management system.
[SOURCE:ISO 9000:2015, 3.13.2, modified]
3.2.10
internal audit
audit (3.2.2) conducted by, or on behalf of, an organization itself for management review and other internal purposes, and which can form the basis for an organization’s self-declaration of conformity
Note 1 to entry: In many cases, particularly in smaller organizations, independence can be demonstrated by the freedom from responsibility for the activity being audited.
[SOURCE:ISO 22300:2021, 3.1.134]
3.2.11
joint audit
audit (3.2.2) carried out at a single auditee (3.2.7) by two or more auditing organizations
[SOURCE:ISO 9000:2015, 3.13.3]
3.2.12
objective evidence
data supporting the existence or verity of something
Note 1 to entry: objective evidence can be obtained through observation, measurement, test or by other means.
Note 2 to entry: objective evidence for the purpose of the audit (3.2.2) generally consists of records, statements of fact, or other information which are relevant to the audit criteria and verifiable.
[SOURCE:ISO 9000:2015, 3.8.3]
3.2.13
party
natural person or legal person, whether or not incorporated, or a group of either
[SOURCE:ISO/IEC 22123-1:2021, 3.4.1]
Bibliography
| 1 | ISO 9000:2015, Quality management systems — Fundamentals and vocabulary |
| 2 | ISO/IEC 17000:2020, Conformity assessment — Vocabulary and general principles |
| 3 | ISO/IEC 17021-1:2015, Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 1: Requirements |
| 4 | ISO/IEC 17789:2014, Information technology — Cloud computing — Reference architecture |
| 5 | ISO 19011:2018, Guidelines for auditing management systems |
| 6 | ISO/IEC 19086-1:2016, Information technology — Cloud computing — Service level agreement (SLA) framework — Part 1: Overview and concepts |
| 7 | ISO/IEC 19086-2:2018, Cloud computing — Service level agreement (SLA) framework — Part 2: Metric model |
| 8 | ISO/IEC 19941, Information technology — Cloud computing — Interoperability and portability |
| 9 | ISO/IEC/TR 22678:2019, Information technology — Cloud computing — Guidance for policy development |
| 10 | ISO/IEC/TS 23167:2020, Information technology — Cloud computing — Common technologies and techniques |
| 11 | ISO/IEC TR 23187, Information technology — Cloud computing — Interacting with cloud service partners (CSNs) |
| 12 | ISO/IEC 27001:2013, Information technology — Security techniques — Information security management systems — Requirements |
| 13 | ISO/IEC 27002, Information technology — Security techniques — Code of practice for information security controls |
| 14 | ISO/IEC 27006, Information technology — Security techniques — Requirements for bodies providing audit and certification of information security management systems |
| 15 | ISO/IEC TS 27006-2:2021, Requirements for bodies providing audit and certification of information security management systems — Part 2: Privacy information management systems |
| 16 | ISO/IEC 27007, Information security, cybersecurity and privacy protection — Guidelines for information security management systems auditing |
| 17 | ISO/IEC TS 27008:2019, Information technology — Security techniques — Guidelines for the assessment of information security controls |
| 18 | ISO/IEC 27017, Information technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services |
| 19 | ISO/IEC 27018:2019, Information technology — Security techniques — Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors |
| 20 | ISO/IEC 27701, Security techniques — Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management — Requirements and guidelines |
| 21 | ISO/IEC 29100, Information technology — Security techniques — Privacy framework |
| 22 | International Standards for the Professional Practice of Internal Auditing (Standards), (IPPF), Institute of Internal Auditors of North America (IIA) https://na.theiia.org/standards-guidance/public%20documents/ippf-standards-2017.pdf |
| 23 | NIST Special Publication (SP) 800-30 Rev.1 Guide for conducting risk assessments https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf |
| 24 | NIST Special Publication (SP) 800-53 Rev.5 Security and Privacy Controls for Information Systems and Organizations https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-53r4.pdf |
| 25 | NIST Special Publication (SP) 800-160 Volume I Systems Security Engineering: Considerations for a Multidisciplinary Approach in the Engineering of Trustworthy Secure Systems https://csrc.nist.gov/publications/detail/sp/800-160/vol-1/final |
| 26 | NIST Special Publication (SP), 2000-01 ABC’s of Conformity Assessment https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.2000-01.pdf |
| 27 | NIST interagency Report (IR) 8011-1, Automation Support for Security Control Assessments, Volume 1 https://csrc.nist.gov/publications/detail/nistir/8011/vol-1/final |