奇妙な資産価値

奇妙な資産価値

集まる連中が同じことを繰り返し話題にするので記事も同じ内容が繰り返されてしまうのは止むなしか。

資産価値はCIAに分けて既に評価されているのに、どういうわけかご丁寧にこの3つを掛けて改めて資産価値とやっている。

資産価値=C×I×A? 奇妙キテレツ。

掛け算を使うなんて全く何も理解していない証拠。資産価値の単位~次元(ディメンション)は基本的には金額。セキュリティ側面(CIA)の欠落によって生ずる損害額のことです。どうせ間違うにしても足し算ならまだ普通の頭ということになるが、掛け算とか中には更にご丁寧に機密性だけ二乗したり例があるようです。こういう文科系の頭が事務局をやったら悲劇だね。

ついでに言えば、

脅威は損害の発生率に相当します。脆弱性は防御率の逆数=防御できない率ですから、概念的には脅威の実現率ですね。ここは次元(ディメンション)はありません。資産価値に脅威・脆弱性を掛けて出てくるリスク値も金額です。

「ある情報資産」の「ある脅威」に対するリスク値とは期待損失額に相当します。予想被害額。この予想被害額を軽減するためにリスク低減の施策が打たれます。

リスク低減の施策は、恒常的に続けるものと、体質・仕組みを変える為に機関を区切って実施されるものとがあります。経営者はこの両者の活動のためにリソースを提供することが求められます。

リスク軽減のために投資する費用の限界点がリスク値です。

.*.

しかし、これを定量化するのはとても無理。止む無く、レベル区分で便宜的な評価にとどめています。

.*.

それにしてもCIAを掛けたりしたら適切にリスクが拾い出せない分けですから、リスクアセスメント自体をやり直さなければどうしようもないでしょう。

意味の無いことを多くの人が何年もやっていたという事実は厳しいね。

コンサルの同胞もアホなら審査もアホ。もしくはズルイ根性の持ち主だ。一方の管理責任者も内部監査責任者も推進者も自分の問題としてISMSに向き合っていなかった証拠でしょう。勿論、一番の被害者で一番の問題児は経営者その人です。

.*.

<必ずお読みください>

◆コメントについて

内容見直しの機会としてコメント可能としています。但し、採否・削除は勝手に行いますので予めご了解ください。

◆注意事項

当ブログは独断と偏見を排除しない私用目的のものです。不適切な内容を含む可能性がありますので注意してください。

組織・個人・商品・サービス等について固有名詞が引用されますが、関連考察は誹謗中傷を意図したものでは有りません。また内容の真否は一切確認しておりません。鵜呑みにしないでください。

記事は同じような内容が繰り返し記載されたり、矛盾することが記載されたりします。事実誤認もあります。これらの修正は必ずしも行うものではありません。

◆禁止事項

ブログ訪問者は直接閲覧すること以外の行為は遠慮してください。ブログ内容の一部または全部に関わらず、印刷、コピー、ダウンロード、保管、編集、利用、及び他の人への紹介・情報提供等を禁じます。

2004/04/01

人気の投稿:月間

人気の投稿:年間

人気の投稿