リスクアセスメントは何段階評価にするか?

リスクアセスメントは何段階評価にするか?

手を抜くには3段階。どうせ段階評価なんていい加減な妥協の産物。ここを木目細かくやっても有効性は上がらない。但し、3段階は心理操作が入るので進められない。中心選択が出来ないように偶数段階にするのが今どきの常識。4段階。

資産価値も、脅威も、脆弱性も、全て分かり易いように4段階。

◆ 4(価値)×4(脅威)×4(脆弱性)=64(リスク値)

脅威と脆弱性を括って被害の発生確率とするケースもある。

◆ 4(価値)×4(発生確率)=16(リスク値)

しかしこれは分析が更にラフになるから勧められるものではない。特に脆弱性に対するアプローチが曖昧になるのはリスクアセスメント全体のスキームをスポイルするので致命的とも言える。

.*.

面白いことがある。機密性だけ4段階にする話だ。完全性、可用性は3段階にしたまま、機密性だけ4にするというのだ。馬鹿げた話だ。正しい資産価値評価も出来ないし、リスク値の意味まで本質を失ってしまう。

リスク値は本来、期待損失のこと。可能なら被害額を算定するのが正しい。被害額算定の方法論が簡単でないから、段階評価をやっているに過ぎない。だから、CIAのどの側面を喪失しても、被害額は同じ軸(本来は金額)で求められなければいけない。

ISMSが流行りだした初期のころは、CIAで段階を分けるような間違いの他に、CIA各側面の資産価値を足したり、平均値を出したり、あるいは脅威と脆弱性を足したり掛けたりなどと頓珍漢のロジックを組むところがあった。コンサルの罪は重い。審査員も合理性を求めないで見て見ぬ振りだから同罪。と言うか、本質を殆ど理解していない審査員も少なくないようだ。

既に10年を経過した今の時代でも、その名残を引きずるISMSは結構ある。ご都合の見よう見まねの結果です。

.*.

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

人気の投稿:年間

人気の投稿