リスク・アセスメント
【 Risk assessment 】
 
 

目 次

Links


リスクマネジメント

リスクアセスメントとは

  • 『危険因子査定』:リスク特定、リスク分析、リスク評価を網羅するプロセス全体を指す。
    1. リスク特定 (risk identification) - リスクを発見し、認識し、記述するプロセス
    2. リスク分析 (risk analysis) - リスクの特質を理解し、リスクレベルを決定するプロセス
    3. リスク評価 (risk evaluation) - リスク(とその大きさ)が受容可能か(許容可能か)を決定するためにリスク分析の結果をリスク基準と比較するプロセス

情報資産

  • 日本ネットワークセキュリティ協会情報資産
    • 資産とは、企業の業務遂行の過程で生み出される価値あるもののことです。資産には、不動産や商品など、目に見えるものもあれば、財務情報、人事情報、顧客情報、技術情報などの目に見えないものもあります。これらのことを、情報資産といい、情報セキュリティ上の脅威から守る必要があります。
    • 企業には、多くの情報資産が蓄えられており、それらは、コンピュータ、記録媒体、紙、または人の記憶や知識など、さまざまな形態をとります。ITの普及に伴い、情報資産の価値は、ますます高まっているといえます。
  • BCP(Business Continuity Plan):事業継続計画
    • 災害などリスクが発生したときに重要業務が中断しないこと。また、万一事業活動が中断した場合でも、目標復旧時間内に重要な機能を再開させ、業務中断に伴うリスクを最低限にするために、平時から事業継続について戦略的に準備しておく計画。

情報資産のリスク管理プロセス

Risk
  1. 置かれている状況の確定
  2. リスクアセスメント
    1. リスク特定
    2. リスク分析
    3. リスク評価
  3. リスク対応
  4. モニタリング及びレビュー
  5. コミュニケーション及び協議

情報資産のリスクアセスメント

情報資産のリスク特定

  • リスク特定
    リスクアセスメント表
    グループ情報資産重要度脅威脆弱性リスク要因リスクスコア
    機密性完全性可用性(残留リスク)
    PCPCハードウェア11111無くても良い1
    PCソフトウェア??????
    電子メールデータ??????
    アドレスデータ??????
    レポートデータ??????
    学科システム授業資料??????
    授業レポート??????
    電子メールデータ??????
    家(勉強部屋)机引き出し??????
    机引き出し(鍵付き)??????
    書棚??????
    リスクアセスメント表(サンプル)

情報資産のリスク分析

1 重要度スコア

  1. 機密性
    機密性の重要度
    スコア判断基準
    4極秘:内容が漏えいした場合、BCPが困難なほど深刻かつ重大な影響がある。(訴訟等)
    3秘密:内容が漏えいした場合、大きな影響がある。(組織の信用等)
    2部外秘:内容が漏えいした場合、中程度の影響がある。(個人の信用等)
    1公開:内容が漏えいした場合でも、影響が少ない。
    (4段階評価))
  2. 完全性
    完全性の重要度
    スコア判断基準
    4最重要:完全・正確でないと、BCPが困難なほど深刻かつ重大な影響がある。
    3重要:完全・正確でないと、大きな影響がある。
    2要:完全・正確でないと、中程度の影響がある。
    1不要:不完全・不正確でも、影響が少ない。
    (4段階評価))
  3. 可用性
    可用性の重要度
    スコア判断基準
    4最高:可用性が失われると、BCPが困難なほど深刻かつ重大な影響がある。
    3高:可用性が失われると、大きな影響がある。
    2中:可用性が失われると、中程度の影響がある。
    1低:可用性が失われても、影響が少ない。
    (4段階評価))
  4. 重要度スコア
    • [重要度スコア] = [機密性スコア] × [完全性スコア] × [可用性スコア]
    • [最高重要度スコア] = 4 × 4 × 4 = 64
    • [最低重要度スコア] = 1 × 1 × 1 = 1

2 脅威のスコア

  • 意図的脅威:改ざん、破壊、侵入、盗難等の、いわゆる犯罪に対する“恐れ”
  • 偶発的脅威:紛失、入力ミス、うっかり削除等の、いわゆる人的過失に対する“恐れ”
  • 環境的脅威:台風、水害、落雷、高温多湿、直射日光等の、とりまく環境に対する“恐れ”
    脅威の重要度
    スコア判断基準
    3高:発生する可能性が高く、常時、あるいは頻繁に脅威にさらされている。
    2中:発生する可能性は中程度で、数ヶ月に1回程度脅威にさらされている。
    1低:発生する可能性は低く、年に1回程度脅威にさらされている。
    (3段階評価))

3 脆弱性のスコア

  • 脆弱性とは、『脅威に対する固有の弱点』
    脆弱性の重要度
    スコア判断基準
    3高:脅威に対して、ほとんど対策をしていない。
    2中:脅威に対して、ある程度対策をしている。
    1低:脅威に対して、万全の対策をしている。
    (3段階評価))

情報資産のリスク評価

情報資産のリスク・スコア

  • リスク・スコア
    • [リスク・スコア] = [重要度スコア] × [脅威スコア] × [脆弱性スコア]
    • [最高リスク・スコア] = 64 × 3 × 3 = 576
    • [最低リスク・スコア] = 1 × 1 × 1 = 1
  • リスク受容可能レベル一覧
    リスク受容可能レベル一覧
    脅威
    脆弱性
    資産の重要度1
    2121218
    312181827
    4121624122436
    661218122436183654
    881624163248244872
    991827183654275481
    121224362448723672108
    161632483264964896144
    18183654367210854108162
    24244872489614472144216
    272754815410816281162243
    323264966412819296192288
    36367210872144216108216324
    48489614496192288144288432
    6464128192128256384192384576

情報資産のリスク対応

mark1
  1. リスク回避
    • a) リスクを生じさせる活動を開始又は継続しないと決定することによって、リスクを回避する。
  2. リスク低減(最適化)
    • b) ある機会を追求するために、そのリスクを取る又は増加させる。
    • c) リスク源を除去する。
    • d) 起こりやすさを変える。
    • e) 結果を変える。
  3. リスク移転(共有)
    • f) 一つ以上の他者とそのリスクを共有する(契約及びリスクファイナンシングを含む。)。
  4. リスク保有
    • g) 情報に基づいた意思決定によって、そのリスクを保有する。

リスクアセスメント表

  • リスクアセスメント表(サンプル):fileExcel


添付ファイル: fileRiskMgm.png 518件 [詳細] fileRiskAm-Table.xlsx 1190件 [詳細]

トップ   編集 凍結解除 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2017-09-26 (火) 14:27:45 (697d)