2020年4月の記事一覧
リスク評価方法の種類
定性的評価リスクの大きさを金額以外(大中小など)で表す評価手法
定量的評価リスクの大きさを金額で表す評価手法
詳細リスク分析・評価の手順
リスク分析では、現実に発生すれば損失をもたらすリスクが、情報システムのどこにどのように潜在しているかを識別し、その影響の大きさを測定する
ステップ1リスク分析範囲の決定
ステップ2対象とする情報資産の種別の決定
ステップ3情報資産の洗い出し
ステップ4情報資産の分類
ステップ5脅威の洗い出し
ステップ6脆弱性の洗い出し
ステップ7リスクの洗い出し
参照
ステップ8リスクの大きさの
リスク分析に関する手法やツール
JRAM/JRAMS2010JRAM(Japan Rsik Analysis Method)は一般財団法人情報経済社会推進協会(JIPDEC)が開発したリスク分析手法。
JRAMS2010は、JRAMにJIPDECがISO31000 リスクマネジメント規格の考え方、成熟度モデルやギャップ分析の手法を導入したリスクマネジメントシステム
CRAMMCRAMM(CCTA Risk Analysis
リスクアセスメントの目的と効果
リスクアセス線との目的は、組織やシステムに内在するリスクの大きさや影響度を知ることで、効果的なセキュリティ対策プランを導き出す事。
リスクアセスメントに関する規格ISO/IEC 31010:2009 JIS Q 31010:2012(リスクマネジメントーリスクアセスメント技法)
リスクアセスメントは「リスク特定、リスク分析及びリスク評価の全般的なプロセス」としている。
※上原孝之著「情報処理
リスクアセスメント分析方法の種類
ベースラインアプローチ(管理リスク分析) 一般に公開されている基準やガイドライン等に基づく質問に回答することでリスクを分析する方式
メリット:
・低コスト、短時間
デメリット:
・大まかな分析になる
・回答者の主観になりばらつきが生じやすい
・用いる資料により品質が左右される
非公式アプローチリスク分析者の知識と経験による分析手法
メリット:
・分析者の能力が
ISO/IEC 27001(JIS Q 27001)のリスクに関する定義
リスクレベル 結果とその起こりやすさの組合せとして表現される、リスクの大きさ。
リスク基準 ・リスクの重大性を評価するための目安とする条件。
・リスクの基準は、組織の目的、外部状況及び内部状況に基づいたものとなる。
・リスク基準は、規格、法律、方針及びその他の要求事項から導き出されることがある
リスク特定 ・リスクを発見、認識及び記述するプロセス
・リスク特定には、リスク源、事象、それ