ページ

リスク・アセスメント


リスク・アセスメント
情報資産の具備要件
情報資産はその特性として「機密性」、「保全性」、「可用性」を備えていることが求められる。
機密性(C)許可された人意外はアクセスできない。
保全性(I)内容に抜け盛れ、改ざんがない。
可用性(A)予め許可された時はいつでも利用できる。
Confidentiality, Integrity, Availability
資産価値
情報資産の価値評価はどのように行うか。情報資産の獲得・形成に要した費用とか、情報資産を失ったときの損害額とかが考え付く。
必ずしもお金を掛けたから価値の高いものが出来上がる分けではないという意味では、損害額に注目すればよいが、情報資産獲得形成の費用はやはりどこかで見ておきたい。
獲得・形成時の費用投資額。初期とランニング。
紛失・漏洩時の損害CIA各側面から評価。←RAは専らこの切り口?
別件になるが、上記のデータは情報化投資における投資対効果を評価する時の一つのデータになり得るのではないだろうか。
リスク・アセスメント
リスク・アセスメントとは、保有する情報資産について、「機密性」、「保全性」、「可用性」の各観点から、「資産価値」、「脅威の程度レベル」、「脆弱性の程度レベル」を明確にし、結果として「リスクの程度レベル」(リスク値)を具体的にすることである。
リスク = 資産価値 * 脅威 * 脆弱性
リスクの定量化
 
 
リスクアセスメントの手順
  1. 情報資産の棚卸し
  2. 資産価値決定のための基準作成
  3. 脅威決定のための基準作成
  4. 脆弱性決定のための基準作成
  5. 受容レベルの決定
  6. 資産別リスク値の算定
  7. 受容レベル以上の資産への管理策選択
この一連の作業(1→N)はワンパスで終了する訳でない。最初のISMS構築プロセスでも試行錯誤することになる。ISMS構築後も年1回の見直しが必要。		 
一連の作業を進めるための演習サンプル。情報資産の全数を評価するとなるとあまり実際的ではないが、評価をどのように行うかをイメージするには良い。
実際はITを使った管理にしないと。紙では無理っぽい。簡易的なツールのリリースが待たれる。
 

2004/03/20 First
2004/03/24 k1
2004/10/03 Last

人気の投稿:週間

  • 審査研修
    審査研修 TRAINING OF AUDIT◆審査員になるには ルールはJIPDECのホームページに記載あり。→ここ( ISMS審査員評価登録 ) 簡単な手順としては、審査員の教育についてオーソライズされた機関で、教育を受ける。終了テストがある。それに合格する。審査員補...
  • 推薦!ISMSコンサルタント
    推薦!ISMSコンサルタント ■ LARGE      大手企業。人数が多く、実績が多く、品質や環境など他の規格も含めた総合的なコンサルが受けられる。サイト数が多い場合や海外に事業所がある場合の対応も可能。 ■      ■      ■ MEDIUM ...
  • はじめに
    はじめに リニューアルの序言 審査員に最も求められるのは人間性です。どのような審査員を目指すかは心がけ次第です。尊敬に値する審査員になるには人間性の充実は欠かせません。 力量をパフォーマンスと捉え、審査をイベントと解して、まるで道化師のような審査員にお目にかかると失笑...
  • ISMS審査員の必読書
    ISMS審査員の必読書 一般的な解説書はアマゾンで検索して探してください。どの解説書でも一定の理解は得ることが出来ます。間違いも多いと思います。限られた経験の中で、自分なりに租借してもので、他の人の理解とはずれがあります。共著はチャプターを分担しているので文章の纏まり感がな...
  • 情報資産
    情報資産   何が情報資産か。一般的な分類をベースに、我が家の情報資産を試しに洗ってみることにしよう。   情報資産の分類 情報資産 紙の文書 ソフトウエア資産 物理的資産 サービス ※分類をどの程度の細かさでやるのかが問題になることがある。それ...
  • ISMSを選択する理由
    ■   「ISMSを選択する理由」 ISMSを要請する時代背景の理解。もはや常識かな? ■       時代背景 ここでは現在の情報化社会についての基本的な動向を踏まえ、情報セキュリテイ問題に取り組むことへの背景を理解する。情報技術の発展がビジネス、働き...
  • 認証取得手順
    認証取得手順   認証取得までの一般的な手順       ここがポイント 準備段階 経営者によるセキュリテイ問題の認識と理解 組織体制、役割の設定 学習 実態把握 方針 実施計画 実施とレビュー   準備段階と入っても、...
  • ISMS認証審査の仕組み
    ISMS認証審査の仕組み   ISMS認証審査の仕組みにおける「プレイヤー」   認定機関 認証登録 機関 審査員研修 機関 審査員評価 登録機関 企業・工場 等 研修受講 希望者 審査員 候補者   「プレイヤー」の役割     ...
  • ISMS審査員の日記
    ISMS審査員の日記     isms 審査員を目指して悪戦苦闘する様を見たまま聞いたまま本音で語る日記です。 筆者は、無資格・無経験から出発して、只今、想像を越える困難の中、何とか日々を繋いでおります。見たくもない問題、聞きたくもない問題。これらは、これから審査員を目指す...
  • ISMS文書
    ISMS文書   ISMSセミナーで入手した資料より。ISO9000の品質マニュアルの体系のほうが分かりやすいので、その方向で再整理。   ★ ISMS文書・記録 ISMSマニュアル   情報セキュリテイポリシー ISMS適用範囲 (事業、組織...

人気の記事:月間

  • 審査研修
    審査研修 TRAINING OF AUDIT◆審査員になるには ルールはJIPDECのホームページに記載あり。→ここ( ISMS審査員評価登録 ) 簡単な手順としては、審査員の教育についてオーソライズされた機関で、教育を受ける。終了テストがある。それに合格する。審査員補...
  • リスク・アセスメント・シート
    リスク・アセスメント・シート あまり実際的ではないリスクアセスシートのサンプル。     ◆リスクアセスメントシート:リスクレベルの評価 管理番号 情報資産名 CIA 資産価値 ① 脅威の程度のレベル ② 脆弱性の程度のレベル ③ リスクの程度のレベル ①*②...
  • 推薦!ISMSコンサルタント
    推薦!ISMSコンサルタント ■ LARGE      大手企業。人数が多く、実績が多く、品質や環境など他の規格も含めた総合的なコンサルが受けられる。サイト数が多い場合や海外に事業所がある場合の対応も可能。 ■      ■      ■ MEDIUM ...
  • 「ISMS審査登録機関
    ◆ 「ISMS審査登録機関」 審査登録機関が認定を受けるのは国内の認定機関に限定されているわけではない。例えば英国UKASから認定を受けて審査業務を行うことも出来る。 以下は、JIPDECが認定した 「 ISMS認証取得事業者一覧 」。今後、登録(契約)審査員の人数、審査...
  • はじめに
    はじめに リニューアルの序言 審査員に最も求められるのは人間性です。どのような審査員を目指すかは心がけ次第です。尊敬に値する審査員になるには人間性の充実は欠かせません。 力量をパフォーマンスと捉え、審査をイベントと解して、まるで道化師のような審査員にお目にかかると失笑...
  • 経営者インタビュー
    経営者インタビュー   マネージメントシステムの審査は経営者インタビューに尽きる。経営者は意図し、企画し、実行し、結果を持っている。システムの出来具合の全ては経営者の言葉、表情、感慨に集約されている。審査員になったあなたが最初にぶつかる本当の壁はとりあえず経営者インタ...
  • ISMS審査員の必読書
    ISMS審査員の必読書 一般的な解説書はアマゾンで検索して探してください。どの解説書でも一定の理解は得ることが出来ます。間違いも多いと思います。限られた経験の中で、自分なりに租借してもので、他の人の理解とはずれがあります。共著はチャプターを分担しているので文章の纏まり感がな...
  • 情報資産
    情報資産   何が情報資産か。一般的な分類をベースに、我が家の情報資産を試しに洗ってみることにしよう。   情報資産の分類 情報資産 紙の文書 ソフトウエア資産 物理的資産 サービス ※分類をどの程度の細かさでやるのかが問題になることがある。それ...
  • ISMSを選択する理由
    ■   「ISMSを選択する理由」 ISMSを要請する時代背景の理解。もはや常識かな? ■       時代背景 ここでは現在の情報化社会についての基本的な動向を踏まえ、情報セキュリテイ問題に取り組むことへの背景を理解する。情報技術の発展がビジネス、働き...
  • 認証取得手順
    認証取得手順   認証取得までの一般的な手順       ここがポイント 準備段階 経営者によるセキュリテイ問題の認識と理解 組織体制、役割の設定 学習 実態把握 方針 実施計画 実施とレビュー   準備段階と入っても、...

人気の投稿:年間

  • 審査研修
    審査研修 TRAINING OF AUDIT◆審査員になるには ルールはJIPDECのホームページに記載あり。→ここ( ISMS審査員評価登録 ) 簡単な手順としては、審査員の教育についてオーソライズされた機関で、教育を受ける。終了テストがある。それに合格する。審査員補...
  • リスク・アセスメント・シート
    リスク・アセスメント・シート あまり実際的ではないリスクアセスシートのサンプル。     ◆リスクアセスメントシート:リスクレベルの評価 管理番号 情報資産名 CIA 資産価値 ① 脅威の程度のレベル ② 脆弱性の程度のレベル ③ リスクの程度のレベル ①*②...
  • 経営者インタビュー
    経営者インタビュー   マネージメントシステムの審査は経営者インタビューに尽きる。経営者は意図し、企画し、実行し、結果を持っている。システムの出来具合の全ては経営者の言葉、表情、感慨に集約されている。審査員になったあなたが最初にぶつかる本当の壁はとりあえず経営者インタ...
  • はじめに
    はじめに リニューアルの序言 審査員に最も求められるのは人間性です。どのような審査員を目指すかは心がけ次第です。尊敬に値する審査員になるには人間性の充実は欠かせません。 力量をパフォーマンスと捉え、審査をイベントと解して、まるで道化師のような審査員にお目にかかると失笑...
  • 推薦!ISMS審査員必携アイテム
    ISMS SUPPORT NETWORK | ISMS規格 の探検 | ISMS審査員の常識 | ...
  • 主要コンテンツ
    ■主要コンテンツ Message: 現在、ISMS審査員を目指している方へ どういう情報を予め知っておきたいか、あるいは懸念されている事柄があれば、 メール にてご連絡ください。 匿名公開できるもの。 既 に、ISMS審査員として活動されている方へ ...
  • ISMS審査の手順
    ■   「ISMS審査の手順」   ■       1.ISMS審査概要 認証取得手順 審査手順     2.書類審査 審査コメントサンプル 審査コメント集     3.初動審査(第1段階審査) 審査の基準 審査会実施手順 ...
  • ISMS文書
    ISMS文書   ISMSセミナーで入手した資料より。ISO9000の品質マニュアルの体系のほうが分かりやすいので、その方向で再整理。   ★ ISMS文書・記録 ISMSマニュアル   情報セキュリテイポリシー ISMS適用範囲 (事業、組織...
  • ISMS認証取得企業
    ISMS認証取得企業   ISMS認証取得企業全リスト    
  • 情報とは
    情報とは JIS X 5080:2002の定義「情報は、他の重要な授業資産と同様に、組織にとって価値がある資産であり、適切に保護する必要がある。」     「人(ひと)、物(もの)、金(かね)」に次ぐ第4の資産「情報(じょうほう)」     2004/03...