- 運営しているクリエイター
記事一覧
リスクマネジメントのプロセス
リスクマネジメントのプロセスは「リスクアセスメント」「リスク対応方法の洗出し」「リスク対応の実施」「リスク及びリスク対応方法の見直し」を繰り返し実施する。
1.リスクアセスメント リスク分析とリスクの評価
2.リスク対応方法の洗出し リスク対応の結果を受け、損失を最小限に抑えるリスクへの対応方法の洗出しを行う。
3.リスク対応の実施 洗い出されたリスク対応方法と予算・組織などの兼ね合いによ
情報資産別リスクの洗出し方法の事例
社内PC脅威: コンピュータウィルス、マルウェアの侵入
脆弱性:アンチウィルスソフト、Personal security softwareの未導入
リスク:感染による業務中断。他のPCへの感染
社内業務システム脅威:社員の操作ミス
脆弱性:教育・手順書の不備
リスク:システム停止による業務中断
Network機器(ルータ、Firewall等)脅威:ハードウェア障害
脆弱性:冗長化・保守点検の不
リスク評価方法の種類
定性的評価リスクの大きさを金額以外(大中小など)で表す評価手法
定量的評価リスクの大きさを金額で表す評価手法
詳細リスク分析・評価の手順
リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこにどのように潜在しているかを識別し、その影響の大きさを測定する
ステップ1リスク分析範囲の決定
ステップ2対象とする情報資産の種別の決定
ステップ3情報資産の洗い出し
ステップ4情報資産の分類
ステップ5脅威の洗い出し
ステップ6脆弱性の洗い出し
ステップ7リスクの洗い出し
参照
ステップ8リスクの大きさの
リスク分析に関する手法やツール
JRAM/JRAMS2010JRAM(Japan Rsik Analysis Method)は一般財団法人情報経済社会推進協会(JIPDEC)が開発したリスク分析手法。
JRAMS2010は、JRAMにJIPDECがISO31000 リスクマネジメント規格の考え方、成熟度モデルやギャップ分析の手法を導入したリスクマネジメントシステム
CRAMMCRAMM(CCTA Risk Analysis
リスクアセスメントの目的と効果
リスクアセス線との目的は、組織やシステムに内在するリスクの大きさや影響度を知ることで、効果的なセキュリティ対策プランを導き出す事。
リスクアセスメントに関する規格ISO/IEC 31010:2009 JIS Q 31010:2012(リスクマネジメントーリスクアセスメント技法)
リスクアセスメントは「リスク特定、リスク分析及びリスク評価の全般的なプロセス」としている。
※上原孝之著「情報処理
リスクアセスメント分析方法の種類
ベースラインアプローチ(管理リスク分析) 一般に公開されている基準やガイドライン等に基づく質問に回答することでリスクを分析する方式
メリット:
・低コスト、短時間
デメリット:
・大まかな分析になる
・回答者の主観になりばらつきが生じやすい
・用いる資料により品質が左右される
非公式アプローチリスク分析者の知識と経験による分析手法
メリット:
・分析者の能力が
ISO/IEC 27001(JIS Q 27001)のリスクに関する定義
リスクレベル 結果とその起こりやすさの組合せとして表現される、リスクの大きさ。
リスク基準 ・リスクの重大性を評価するための目安とする条件。
・リスクの基準は、組織の目的、外部状況及び内部状況に基づいたものとなる。
・リスク基準は、規格、法律、方針及びその他の要求事項から導き出されることがある
リスク特定 ・リスクを発見、認識及び記述するプロセス
・リスク特定には、リスク源、事象、それ