06.1
06.1.2
情報セキュリティリスクアセスメント
リスクアセスメントプロセスを定義すること:
a) リスク基準の確立
b) リスクアセスメントの実施基準の決定
c) リスクアセスメントが一貫性、妥当性、比較可能性。
d) リスクを特定する。
1)適用範囲内の資産のCIA喪失時のリスクを予め決めた手順を適用して特定する。
リスクアセスメントプロセスの適用。変な言い方だな。英語圏のものの言い方なんだろう。
前の規格バージョンでは、情報資産、資産価値、脅威、脆弱性の用語の本質理解には難しい面があった。
先ず、資産価値は資産の価値でなく資産価値を損ねたときの影響度を資産価値としていたから分かりにくい。1億円の工作機械を持っていて資産価値はいくらか?答えは1億円でなく、工作機械が使えないときのビジネス機会損失額だから鼻から難しかった訳です。
脅威と脆弱性も絡み合う関係にあるので分離できません。無理矢理、自分でコントロールできないものを脅威、コントロール出来るものを脆弱性とやっていますが、ただの方便に過ぎないことは誰でもわかりますし、その線引き作業が時間の無駄だ。
2) リスクオーナーを特定
リスクオーナーとは?経営品質などで言うところの「問題の所有者」のことでしょう。リスク(被害・損害)の回避、解消、軽減を行うべき直接の責任者。経営から権限と責任を委託されている人。リスクオーナーの概念の導入は企業の機能配置、役割責任の曖昧さを修復できる期待がある。
e) 情報セキュリティリスクの分析
1)特定されたリスクが生じた場合の潜在的な結果の評価
• 特定されたリスクの現実的な発生可能性の評価
• リスクレベルの決定
f) 情報セキュリティリスクの評価
• 分析されたリスクをリスク基準と比較し、リスク対応の優先順位を決定