情報セキュリティの用語定義

ISO/IEC 17799、JIS Q 15001等、ポリシーの関係規格を中心に、下記３つくらいは用語統一したいものです。最近になって、SAPがSaaSサービスを始めるのにあたり、SAP語で悩んでいるような状態を作らないといったことは以外と重要です。
(1)情報セキュリティ（ISO/IEC 17799から抜粋）
情報の機密性、完全性及び利用の可能性の維持。
機密性は、情報にアクセスすることが認可された者だけがアクセスできることを確実にすること、と定義する。
完全性は、情報及び処理方法の正確さ及び完全である状態を安全防護すること、と定義する。
利用の可能性は、認可されたユーザが、必要時に、情報及び関連財産にアクセスできることを確実にすること、と定義する。
(2)リスクアセスメント(ISO/IEC17799から抜粋）
情報及び情報処理施設/設備に対する脅威、それらへの影響及びバルネラビリティ並びにそれらがおこる可能性の評価。
(3)リスクマネジメント(ISO/IEC17799から抜粋）
許容コストにより、情報システムに影響を及ぼす可能性があるセキュリティリスクを明確にし、制御し、最小限に抑制するか、又は除去するプロセス。
その他としては、「脅威」、「脆弱性」等については、用語レベルだけではなく、「脅威」、「脆弱性」等の内容やレベルについても定義しておいた方が懸命でしょう。