奇妙な資産価値
集まる連中が同じことを繰り返し話題にするので記事も同じ内容が繰り返されてしまうのは止むなしか。
資産価値はCIAに分けて既に評価されているのに、どういうわけかご丁寧にこの3つを掛けて改めて資産価値とやっている。
資産価値=C×I×A? 奇妙キテレツ。
掛け算を使うなんて全く何も理解していない証拠。資産価値の単位~次元(ディメンション)は基本的には金額。セキュリティ側面(CIA)の欠落によって生ずる損害額のことです。どうせ間違うにしても足し算ならまだ普通の頭ということになるが、掛け算とか中には更にご丁寧に機密性だけ二乗したり例があるようです。こういう文科系の頭が事務局をやったら悲劇だね。
ついでに言えば、
脅威は損害の発生率に相当します。脆弱性は防御率の逆数=防御できない率ですから、概念的には脅威の実現率ですね。ここは次元(ディメンション)はありません。資産価値に脅威・脆弱性を掛けて出てくるリスク値も金額です。
「ある情報資産」の「ある脅威」に対するリスク値とは期待損失額に相当します。予想被害額。この予想被害額を軽減するためにリスク低減の施策が打たれます。
リスク低減の施策は、恒常的に続けるものと、体質・仕組みを変える為に機関を区切って実施されるものとがあります。経営者はこの両者の活動のためにリソースを提供することが求められます。
リスク軽減のために投資する費用の限界点がリスク値です。
.*.
しかし、これを定量化するのはとても無理。止む無く、レベル区分で便宜的な評価にとどめています。
.*.
それにしてもCIAを掛けたりしたら適切にリスクが拾い出せない分けですから、リスクアセスメント自体をやり直さなければどうしようもないでしょう。
意味の無いことを多くの人が何年もやっていたという事実は厳しいね。
コンサルの同胞もアホなら審査もアホ。もしくはズルイ根性の持ち主だ。一方の管理責任者も内部監査責任者も推進者も自分の問題としてISMSに向き合っていなかった証拠でしょう。勿論、一番の被害者で一番の問題児は経営者その人です。
.*.