fc2ブログ

リスクアセスメントをやろう

情報セキュリティやBCP(事業継続計画)での対応策は、予算が取りづらいものです。
費用対効果はどうだ?と問われると難しいからです。
そこで、お薦めするのが、リスクアセスメントです。

私が実施しているリスクアセスメントの手法は、

1.重要業務の「業務フロー」を作成する
2.「業務フロー」を参考に「情報リスト」を作成する
3.「情報リスト」の情報が、機密性、完全性、可用性のそれぞれの観点から
  喪失した場合のビジネス上の損失(事業的影響)を評価する
4.「基盤リスト」(情報が格納されるもの)のリストを作成する
5.「情報リスト」と「基盤リスト」のマトリックスを作成する
6.「基盤リスト」をキーに
    -脅威
    -発生可能性
    -現状の対策
    -その対策の成熟度
  を出して、リスク値を算出する
7.リスク値が高いものについては、対策案とその後のリスク値を算出する

という簡易なものです。

リスクアセスメントを実施して、リスク値が算出されることにより、

・リスクが高い事項が把握できる
・対応策を実施すべきか否かの意思決定(優先順位)の参考になる
・対策した効果を定量的に示すことができる

などの効果があります。

情報セキュリティやBCPを整備することは、企業間取引において必須です。
まずは、リスクアセスメントでやるべき項目を洗い出してみましょう。


スポンサーサイト




情報(セキュリティ) | コメント(2) | トラックバック(0)2011/02/18(金)08:07

«  | HOME |  »


カレンダー

01 | 2011/02 | 03
- - 1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 - - - - -

プロフィール

 新木 啓弘

Author: 新木 啓弘
     (しんき よしひろ)

徳島県出身/東京都在住

株式会社インフォクリエマネジメント 代表取締役

中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)

砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
  「からっぽのブルース」より

月別アーカイブ

全ての記事を表示する

全ての記事を表示する

ブログ内検索