ISO21434は、ISO27000/31000と、ISO26262の2つのISO文書から影響を受けています。
このため、いきなり21434を読むのではなく、先に2つの文書を理解しておくことで、なぜISO21434がこのような内容になっているかの一端が掴めるようです。
この2系統の文章は、引用している用語集が違いがあります。どちらもJISになっているので日本語で読めます。
ISO文書 | 用語集 |
---|---|
ISO26262 | ISO/IEC GUIDE 51, Safety aspect — Guideline for their inclusion in standards(JIS Z 8051) |
ISO/IEC31000 | ISO GUIDE 73, Risk management — Vocabulary(JIS Q 0073) |
これらの用語集はもともと別々の分野を背景にしていますので、同じ用語であっても違う意味の定義がなされることがあります。
日本語 | 英語 | GUIDE 51 | GUIDE 73 |
---|---|---|---|
危害 | harm | 人への傷害若しくは健康障害,又は財産及び環境への損害。 | - |
ハザード | hazard | 危害の潜在的な源。 | 潜在的な危害の源。 |
リスク | risk | 危害発生確率及びその危害の度合いの組合せ。 | 目的に対する不確かさの影響。 |
リスク特定 | risk identification | - | リスクを発見,認識及び記述するプロセス。 |
リスク分析 | risk analysis | 入手可能な情報を体系的に用いてハザードを同定し,リスクを見積ること。 | リスクの特質を理解し,リスクレベルを決定するプロセス。 |
リスク評価 | risk evaluation | 許容可能なリスクの範囲に抑えられたかを判定するためのリスク分析に基づく手続。 | リスク及び/又はその大きさが,受容可能か又は許容可能かを決定するために,リスク分析の結果をリスク基準と比較するプロセス。 |
リスク源 | risk source | - | それ自体又はほかとの組合せによって,リスクを生じさせる力を本来潜在的にもっている要素。 |
リスクアセスメント | risk assessment | リスク分析及びリスク評価からなる全てのプロセス。 | リスク特定,リスク分析及びリスク評価のプロセス全体。 |
安全 | safety | 許容不可能なリスクがないこと。 | - |
脆弱性 | vulnerability | - | 物事の本来的特性で,ある結果をもたらす事象につながることがあるリスク源に対する敏感さとなるもの。 |
大きなちがいは、①リスクの定義と、②GUIDE 51はハザードというのに対してGUIDE 73はリスク源という点でしょうか。