資産価値をCIAごとに求めていたので、まあ普通のやり方と思っていたら、最後に、
資産価値=C+I+Aとか、資産価値=C*I*Aとか、時には、資産価値=Cの二乗*I*Aとかに遭遇することがあるようです。CIAは野球の選手なら守備率、打率、盗塁成功率のようなもので、全く次元をことにするものですから、これらの数字を直接演算操作しても得られる数字の意味は良く分からないものになります。クライアントとしては総合評価のつもりらしいですが、確かに傾向として、数字が大きいければ管理コストが掛かる情報資産であろうということは推測できるかもしれません。
<論理破綻の例>
- 資産価値=C+I+A
- 資産価値=C×I×A
- 資産価値=C*2+I+A
- 資産価値=C二乗×I×A
このCIA次元を喪失させた総合?資産価値をベースにリスクアセスに挑む組織もあるようですが、そうなると完全に論理的破綻となります。2002年前後からISMSは始まっていますが、延々と論理破綻のままリスクアセスメントを続けている企業もあるようです。先行企業ですからそれなりにビッグネームのものもあります。そうなると、関係したコンサルとか審査とかの側にも罪がありますね。
論理矛盾(CIA次元の喪失)に気付いた組織では総合?資産価値は求めても参考情報として併記するだけで、CIAごとのリスク評価には使用しません。当然のことです。
.*.
機密性価値だけ二乗するのは機密性を重視しようとするからですが、全く意味の無いことです。理解していないことを公表しているようなものですね。普通に機密性価値に対するリスク評価をやれば済むことです。CIA毎にリスク評価、リスク対応の労を惜しむばかりに総合指標を無理やり作り出して無意味なリスク分析に走ろうとするのは今でも少なくないらしい。
.*.
少し脱線しますが、CIA毎にリスク評価をやる場合に、Cだけ5段階、IAは3段階とするなどの例があります。資産価値×脅威(3段階)×脆弱性(3段階)とすると、Cは最大45レンジ、IAは最大27レンジになります。リスク値は基本的には期待損失額がベースになる考え方のものですから、レンジがずれていること自体が歪んだ評価になります。当然、同じレンジ幅で無ければいけません。
機密性価値を重視したい場合は、受容レベルをCについてだけ厳しく設定すれば済むことです。受容レベルはダイナミックファクター。管理上のパラメータですから適宜見直す発想が必要ですが、どうしても永久不滅の固定的な基準として理解してしまう組織があるようです。
.*.