あきかん

あきかん

  • 情報処理教科書安全情報支援士 合格ノート

リスクマネジメントのプロセス

 リスクマネジメントのプロセスは「リスクアセスメント」「リスク対応方法の洗出し」「リスク対応の実施」「リスク及びリスク対応方法の見直し」を繰り返し実施する。 1.リスクアセスメント リスク分析とリスクの評価 2.リスク対応方法の洗出し リスク対応の結果を受け、損失を最小限に抑えるリスクへの対応方法の洗出しを行う。 3.リスク対応の実施 洗い出されたリスク対応方法と予算・組織などの兼ね合いにより対応策を決定する。 4.リスク及びリスク対応方法の見直し リスクそのもの及び

あきかん

    • 情報資産別リスクの洗出し方法の事例

      社内PC脅威: コンピュータウィルス、マルウェアの侵入 脆弱性:アンチウィルスソフト、Personal security softwareの未導入 リスク:感染による業務中断。他のPCへの感染 社内業務システム脅威:社員の操作ミス 脆弱性:教育・手順書の不備 リスク:システム停止による業務中断 Network機器(ルータ、Firewall等)脅威:ハードウェア障害 脆弱性:冗長化・保守点検の不備 リスク:ネットワーク障害による業務中断 顧客個人情報脅威:社員の不正行為に

      あきかん

      • セキュリティ用語の定義(知っているようで一言で説明できない単語リスト)

        マルウェア利用者の意図に反して不正な振る舞いを行うプログラムやスクリプト。 (コンピュータウィルス、ワーム、トロイの木馬、スパイウェア、ボットなど)

        あきかん

        • リスク評価方法の種類

          定性的評価リスクの大きさを金額以外(大中小など)で表す評価手法 定量的評価リスクの大きさを金額で表す評価手法

          あきかん

        マガジン

        • 情報処理教科書安全情報支援士 合格ノート
          9本

        記事

          詳細リスク分析・評価の手順

           リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこにどのように潜在しているかを識別し、その影響の大きさを測定する ステップ1リスク分析範囲の決定 ステップ2対象とする情報資産の種別の決定 ステップ3情報資産の洗い出し ステップ4情報資産の分類 ステップ5脅威の洗い出し ステップ6脆弱性の洗い出し ステップ7リスクの洗い出し 参照 ステップ8リスクの大きさの評価 洗い出されたリスクが顕在化する可能性や損害を受ける情報資産の重要度などに

          あきかん

          詳細リスク分析・評価の手順

          あきかん

          リスク分析に関する手法やツール

          JRAM/JRAMS2010JRAM(Japan Rsik Analysis Method)は一般財団法人情報経済社会推進協会(JIPDEC)が開発したリスク分析手法。 JRAMS2010は、JRAMにJIPDECがISO31000 リスクマネジメント規格の考え方、成熟度モデルやギャップ分析の手法を導入したリスクマネジメントシステム CRAMMCRAMM(CCTA Risk Analysis Management Methodology)は英国CCTAが開発したリスクマネ

          あきかん

          リスク分析に関する手法やツール

          あきかん

          リスクアセスメントの目的と効果

          リスクアセス線との目的は、組織やシステムに内在するリスクの大きさや影響度を知ることで、効果的なセキュリティ対策プランを導き出す事。 リスクアセスメントに関する規格ISO/IEC 31010:2009 JIS Q 31010:2012(リスクマネジメントーリスクアセスメント技法) リスクアセスメントは「リスク特定、リスク分析及びリスク評価の全般的なプロセス」としている。 ※上原孝之著「情報処理安全確保支援士2020年版」

          あきかん

          リスクアセスメントの目的と効果

          あきかん

          リスクアセスメント分析方法の種類

          ベースラインアプローチ(管理リスク分析) 一般に公開されている基準やガイドライン等に基づく質問に回答することでリスクを分析する方式  メリット:    ・低コスト、短時間  デメリット:    ・大まかな分析になる    ・回答者の主観になりばらつきが生じやすい    ・用いる資料により品質が左右される 非公式アプローチリスク分析者の知識と経験による分析手法  メリット:    ・分析者の能力が高ければ短期間高品質な分析結果を得ることができる  デメリット:    ・分析者

          あきかん

          リスクアセスメント分析方法の種類

          あきかん

          ISO/IEC 27001(JIS Q 27001)のリスクに関する定義

          リスクレベル  結果とその起こりやすさの組合せとして表現される、リスクの大きさ。 リスク基準 ・リスクの重大性を評価するための目安とする条件。  ・リスクの基準は、組織の目的、外部状況及び内部状況に基づいたものとなる。  ・リスク基準は、規格、法律、方針及びその他の要求事項から導き出されることがある リスク特定 ・リスクを発見、認識及び記述するプロセス  ・リスク特定には、リスク源、事象、それらの原因及び起こりうる結果の特定が含まれる  ・リスク特定には、過去のデータ、理

          あきかん

          ISO/IEC 27001(JIS Q 27001)のリスクに関する定義

          あきかん

          リスクの種類

          リスクとは何らかの事態が発生することに関する不確実性を意味する 投機的リスク株価や為替相場のように利益と損失のいずれかを生む可能性のある不確実性のあるリスク。したがって、投機的リスクが顕在化すると利益と損失のいずれかをもたらすことになる 純粋リスク損失のみのを生む可能性のある不確実性を指す。したがって、純粋リスクとが顕在化すると損失のみをもたらすことになる ※上原孝之著「情報処理教科書安全情報支援士 2020年版」より

          あきかん

          リスクの種類

          あきかん

          考える時間

          人生は迷い悩むことに使う時間より、前に進むこと考え、行動することに時間を多く割いたほうが、有意義に過ごせる

          あきかん

          考える時間

          あきかん

          26進数への変換方法

          123を26進数に変換する式 123/26 = 4 mod 19 つまり、123 =4×26+19 26進数のPで25で、20でKとなる 4は26進数で4 19は26進数でJ なので4Jとなる

          あきかん

          26進数への変換方法

          あきかん