06
06.1
06.1.1
一般
06.1.1a)
06.1.1b)
「リスク&オポチュニティ」
これでワンフレーズです。リスクだけでも実はリスク&オポチュニティなんですが、普通リスクは悪い意味で使われることが多いので、敢えて、リスクとオポチュニティとセットで用語にしているのですね。だから、ここのリスクはネガティブに振れるリスクでポジティブに振れるリスクはオポチュニティとしているだけです。
従来のリスク(下振れも上振れも含む)と本質は同義です。
しかしながら、実際問題ではオポの部分の評価は難しい。リスクを小さく見る裏返しだからだ。既存の管理策を評価することがISO化のときに明記されたが、これもオポの一環と見て差し支えない。
リスクもオポも不確実なものであり、リスク低減あるいはオポ実現にはそれを確実にする施策が求められる。
狭義の発想でいくなら、リスクは現在の管理策の脆弱性評価であり、オポは新たな管理策への期待値評価である。
新たな管理策に対する脆弱性評価はリスクの部、既存の管理策に対する脆弱性が別要因で下がる、また脅威が別要因で下がるならオポに入る。
-
テナントが手を打つのでなくビルオーナーが入館システムを改善するのはオポです。改悪の場合はリスク。
脅威そのものの変動を見る。従来はどちらかといえば脅威は管理対象外として評価は一面的だった。
6.1.1b)
旧バージョン8.3予防処置が消えたといって騒いでいる人が居るがその輩は旧バージョンの理解が出来ていなかった可能性がある。もともと旧バージョン規格は重複していたのですよ。「リスクアセスメント」(リスク対応も含め)と「予防処置」と「事業継続管理」は基本的に被って(かぶって)いましたから。
もう一つの勘違いは、PDCAサイクルの中での予防処置の位置づけを動的に見るか静的にみるかの違いです。リスクアセスを年1回のイベントに位置づけてしまった人は今回は混乱することでしょう。
ブログ アーカイブ
-
▼
2013
(51)
-
▼
2月
(51)
- 06.1.1b)
- 04.2a)
- 04.3 a) 04.1にある外部および内部の課題
- 06.1.1a)
- 0.2 他のマネジメントシステム規格との両立性
- 0.1 一般
- 「リスクオーナー」を特定 ⇒ 情報セキュリティリスク対応計画とセキュリティ残留リスクを承認
- 詳細リスクアセスメント手順
- 10.2 継続的改善
- 10.1 不適合及び是正処置
- 10. 改善:Improvement
- 9.3 マネジメントレビュー
- 9.2 内部監査
- 9.1 監視、測定、分析、及び評価
- 9 パフォーマンス評価
- 8.3 情報セキュリティリスク対応
- 8.2 情報セキュリティリスクアセスメント
- 8.1 運用計画及び管理
- 8. 運用
- 7.5.3 文書化された情報の管理
- 7.5.2 作成及び更新
- 7.5.1 一般
- 7.5 文書化された情報
- 7.4 コミュニケーション
- 7.3 認識
- 7.2 力量
- 7.1 資源
- 7. 支援
- 6.2 情報セキュリティ目的及びそれを達成するための計画策定
- 6.1.3 情報セキュリティリスク対応
- 6.1.2 情報セキュリティリスクアセスメント
- 6.1.1 一般
- 6.1 リスク及び機会に対処する処置
- 5.3 組織の役割、責任及び権限
- 5.2 方針
- 5.1 リーダーシップ及びコミットメント
- 4.4 情報セキュリティマネジメントシステム
- 4.3 情報セキュリティマネジメントシステムの適用範囲の決定
- 4.2 利害関係者のニーズ及び期待の理解
- 4.1 組織及びその連関状況の理解
- 改訂内容:ISO 31000:2009 への対応
- 附属書A 管理目的及び管理策の参照
- 8 運用
- 7 支援
- 5 リーダーシップ
- 4 組織の状況
- 3 用語及び定義
- 2 引用規格
- 1 適用範囲
- 0 序文
- 6 計画
-
▼
2月
(51)
BLOGLIST(B)
-
-
-
-
-
経緯 - 経緯: 審査員になるために必要な常識を抑えること。学習の一環としてのページ制作。共同学習の場作り。スタートはそんなものだった。 審査員のあるべき姿はそこには無く、見たくないものばかりが並んでいる。 非常識まかり通る。 非常識は個々の審査員に由来する。 審査員の行動は審査機関が糸を引く。 法の番人が法を...11 年前
-