リスク・アセスメント・シート
あまり実際的ではないリスクアセスシートのサンプル。
◆リスクアセスメントシート:リスクレベルの評価
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
情報資産のたな卸しで明らかにした情報資産管理番号、情報資産名とリンクする。 ①資産価値はセキュリテイ問題を起こしたときの損害額。定性的な被害も金額換算して定量化に努める。 ②脅威は発生頻度で考える。 ③脆弱性は脅威が一旦発生した時に、実際に被害を受けるであろう脆さ(もろさ)の程度。 これらはお気付きのように、必ずしも誰にとっても明確な定量化をおこなうことは容易でない。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
◆リスクアセスメントシート:管理策の選択
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
管理策適用前のリスクレベルは先に棚卸しで評価した結果を記載。 受容レベル。これは難しい。全体のレベル設定の考え方(コンセプト)が明快でないといけない。10年の計としては受容できないが、この1~2年においては受容せざるを得ないと言うことが実際問題として発生する。コスト、社会的あるいは業界的な動向との見合いの要素もある。要はきわめて妥協的な部分があることをどう認識して表現しておくかがポイントになる。 セキュリテイ懸念事項は脅威、脆弱性の定量化の裏づけ/前提となる実際的な具体的な問題を明らかにする。施策に展開する要件、施策の必然性を説明できる内容であることが望ましい。 管理策は規格ANNEXの番号。 適用後リスクは、施策を打つことで受容レベルをクリアするのが建前。時間との関連で見るようにしないと扁平なアセスになる。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
◆機密性、完全性、可用性が喪失した場合の評価尺度 機密性
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
資産価値には数値を入れる。クラスにはレベルを概念で表現したもの(大中小、上中下、高中低とか)。ここも最初はラフなレベルからスタートしないと管理できなくなる。「リスクアセスメントシート:リスクレベルの評価」の資産価値①を決定するときの考え方を予め明確にする。複数の人が作業に入るので、定義を明確にしないと正しいアセス結果につながらない。 複数の多様な資産の重要度を一つの尺度で表現するので、明確な定義は困難。 いずれにしてもペーパーワークでカバーするのは至難。遅かれ早かれ支援ツールが登場するだろう。 | |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
◆リスク受容基準テーブル
| |||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
実際には値を入れて算出。受容基準レベル以上を例えばピンクで表現。ピンクの領域が極端に多かったり少なかったりした場合(特にない場合)は、設定受容値に問題がある。受容リスクの設定とは、このピンクの領域に管理上の意味を設定することである。と考えてよさそう。 脅威:発生頻度で見るのが一般的らしい。強弱の観点もあってしかるべきかと思うが、多分、その強い脅威と弱い脅威を区別してカウントするんだろうね。 脆弱性:既に取られている対策の程度。耐震設計になっていたり防火仕様になっていれば災害に強いが、ログハウスのままでは心配。おまけに保険にも入れないと来たものだ。 |
2004/03/20 First
2004/10/03 Last