本来は年間の期待損失額(金額)です。受容する水準は、経営層レベル、部門長レベル、マネジャーレベル、担当者レベルで、それぞれの予算との関連で決めてもいい。小規模企業だと100万円を超える決済も経営層に行くが、大規模企業なら1億円でも部門長で決済できてしまう。組織規模が反映できるので有効なアプローチに思われる。経営層決済を受容基準にするのか、部門長決済を受容基準にするのか。
- [期待損失額]=[CIAが脅かされた時の損失額]×[脅威の頻度]×[脆弱性]
脅威の頻度は年間の発生確率。
脆弱性は脅威の発生に対して受け入れる確率(防御できない確率)
因みに、脅威×脆弱性=実現頻度と理解できる。
.*.
金額ベースの評価が困難な場合、ポイント制の評価を採用する組織が多い。むしろ、簡便なポイント制でリスク分析を進めるところが主流だそうだ。
ポイント制で、リスク値は最大で4×4×4=64。最小値は1。
ポイント制の最大欠陥は金額の大きさ(深刻度)が単なる1-4のランク分けされて、臨場感を欠落させること。小手先を使うことで、リスク値の過小評価が簡単に出来てしまうこと。その為に、いくつかの工夫を施すことになる。
<リスク値の評価における工夫の例>
- 資産価値最大(4)の場合、脅威の頻度(1)、脆弱性(1)以外(=実現頻度1以外)は受容しない。企業存続~事業存続の瀬戸際に追い込まれる事態を回避するため。資産価値4は無限大に通じると理解しておくことが重要になる。結果、リスク値4のみ受容。またはリスク値8以上は対策を要求。
- 資産価値最小(1)の場合、全ての脅威(4)、脆弱性(4)を受け入れる。対策を要求しない。リスク値16まで受容。
- 資産価値(3)の場合、中長期的に1回の発生(脅威1×脆弱性4)を下回ることを求める。リスク値12は受容せず、次のレベルとなるリスク値9まで受容。
- 資産価値(2)の場合、中長期的に1回の発生を認める。脅威1、脆弱性4。リスク値8まで受容。次のレベルとなるリスク値16は受容しない。
これを、CIAそれぞれに対して独立して実施する。
.*.
