リスクアセスメントを検証する

リスクアセスメントを検証する=リアリティチェックのやり方

リスクアセスメントの基本的な方法論は、(1) CIA喪失による被害額(資産価値)、(2) 脅威(被害を発生させる要因)、(3) 脆弱性(脅威の発生に対する防御能力)をそれぞれレベル分けして、その積を以って(4) リスク値とする。(1)x(2)x(3)=(4) 資産別、CIA別の定量化評価を行うテーブルまたはシートを「リスクアセスメントシート(期待被害額算定表)」として管理することもある。

これは出来るだけ客観的にリスク状況を理解するための方法論であるが、(1)(2)(3)のどの要素として正しく理解することは出来ない。レベルの定義付けも厳密には無理。従ってリスク値もそれなりの曖昧さを伴うものであることは承知しておくべきだ。

<検証方法>

先ず、日常の業務の中でセキュリティリスクとして認識している(情報管理に関連して心配、懸念、あるいは不満に感じている)こと/ものを記述してもらう。特に上位職についている人の声を貰う。ISMS委員がインタビューする方法でも良い。

次に、その懸念している状況を、(1)x(2)x(3)=(4)の形式で構造的に理解し、最初に作ったリスクアセスメントシート((1)x(2)x(3)=(4))にマッピングしてみる。

これを「リスクアセスメントのリアリティチェック」と称します。

上手く整合していれば結構ハイレベルのリスクアセスが実施できたことになる。箸も棒にも掛からなければ、殆ど意味の無いリスクアセスメントの可能性がある。

.*.

ツールを利用した機械的なリスクアセスメントは殆ど役に立たない。

.*.

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

人気の投稿:年間

人気の投稿