- レベル1:情報に必要なときにアクセスできなくても損害は発生しない。”必要な時”と言うのが難しい。極端なケースでは、”いつでもいいから提示してください”と言われて、それに対する否定的回答は”いつ提示できるか回答できない”と言うもの。即ち、行方不明状態。保管していない状態。
- レベル2:必要な時にアクセスできない場合、損失は軽度。担当者による説明責任。
- レベル3:必要な時にアクセスできない場合、発生する損失は中度。部門マネジメントによる説明責任。部門長・マネジャーへの懲罰。
- レベル4:必要な時にアクセスできない場合、発生する損失は重度。事業継続が困難。事業継続管理が発動される。顧客情報・個人情報の重要なものを含む。経営上の重要事項を含む。経営陣による説明責任を問われる。マスコミから叩かれる。社長・経営陣への懲罰・交代・失脚。
.*.
可用性性価値で注意を要するのは、アクセス要求に対するレスポンスタイムの長短でレベル区分をする例が多いこと。2時間以内のアクセスレスポンスがレベル3、翌朝までのアクセスレスポンスならレベル2、1週間以内ならレベル1など。被害の大きさとレスポンスタイムの相関は単純には設定できないからだ。
業務プロセス分析による情報資産の洗い出しに置いて、利用者と要求レスポンスとレスポンスアウトした時の被害額(被害レベル)を明らかにしておかなければいけない。
当該情報が複数の業務プロセス、複数の利用者に関連する場合は、その中で最大の被害についてレベル算定することになる。被害最大となる場合のレスポンス要求時間も抑えておくことが必要になる。(ヘルプデスクとかテレフォンセンターでは問い合わせ回答に1分も掛かれば不適当とされるが、それで会社が危機に陥る訳ではない。
可用性価値の難しさは、被害額は想定レスポンスから遅延する程度とある程度相関することによる。
◆ 被害額A=紛失時被害額~レスポンス遅延時被害額。
最大値はレスポンスタイプ無限大に相当する。最小値はプロセス要求を少しでも外した時の被害額。可用性価値は本来はプロセス要求を外した時の被害額で算定すべきだろうが、管理策を適切に選択できるようにするには最大値も考慮する必要がある。リスクアセスメント自体を簡便化するにはレスポンス無限大時の被害額を入れて算定すれば良い。
業務プロセス分析による情報資産の洗い出しに置いて、利用者と要求レスポンスとレスポンスアウトした時の被害額(被害レベル)を明らかにしておかなければいけない。
当該情報が複数の業務プロセス、複数の利用者に関連する場合は、その中で最大の被害についてレベル算定することになる。被害最大となる場合のレスポンス要求時間も抑えておくことが必要になる。(ヘルプデスクとかテレフォンセンターでは問い合わせ回答に1分も掛かれば不適当とされるが、それで会社が危機に陥る訳ではない。
可用性価値の難しさは、被害額は想定レスポンスから遅延する程度とある程度相関することによる。
◆ 被害額A=紛失時被害額~レスポンス遅延時被害額。
最大値はレスポンスタイプ無限大に相当する。最小値はプロセス要求を少しでも外した時の被害額。可用性価値は本来はプロセス要求を外した時の被害額で算定すべきだろうが、管理策を適切に選択できるようにするには最大値も考慮する必要がある。リスクアセスメント自体を簡便化するにはレスポンス無限大時の被害額を入れて算定すれば良い。
.*.
