システム、ネットワーク、サービスに生じた特定の状態の発生。
方針への違反。管理策の不具合。セキュリティに関連するかもしれない未知の状況。
「解説」
なんて書いてあっても分からないね。
と言うのはセキュリティ事象の報告(A.13.1.2)とセキュリティの弱点の報告(A.13.1.2)が別にに記載されているからです。つまり、この2つは何処で線引きするのかですね。
ここでは、以下のように理解しておきます。
- 事象は所謂ファインディング(Findings)です。認識した事実としての事象。
- 弱点は所謂メッセージ(Messages)です。セキュリティを維持する上での弱点であると評価した情報です。ですから、脆弱性に相当するものになります。現行管理策の不十分さを指すと。