リスクアセスメントをやろう

情報セキュリティやBCP(事業継続計画)での対応策は、予算が取りづらいものです。
費用対効果はどうだ?と問われると難しいからです。
そこで、お薦めするのが、リスクアセスメントです。

私が実施しているリスクアセスメントの手法は、

1.重要業務の「業務フロー」を作成する
2.「業務フロー」を参考に「情報リスト」を作成する
3.「情報リスト」の情報が、機密性、完全性、可用性のそれぞれの観点から
  喪失した場合のビジネス上の損失(事業的影響)を評価する
4.「基盤リスト」(情報が格納されるもの)のリストを作成する
5.「情報リスト」と「基盤リスト」のマトリックスを作成する
6.「基盤リスト」をキーに
    -脅威
    -発生可能性
    -現状の対策
    -その対策の成熟度
  を出して、リスク値を算出する
7.リスク値が高いものについては、対策案とその後のリスク値を算出する

という簡易なものです。

リスクアセスメントを実施して、リスク値が算出されることにより、

・リスクが高い事項が把握できる
・対応策を実施すべきか否かの意思決定(優先順位)の参考になる
・対策した効果を定量的に示すことができる

などの効果があります。

情報セキュリティやBCPを整備することは、企業間取引において必須です。
まずは、リスクアセスメントでやるべき項目を洗い出してみましょう。


スポンサーサイト


情報(セキュリティ) | コメント(2) | トラックバック(0)2011/02/18(金)08:07

コメント

うーん

簡易との事ですが、結構、重たいものと思われます。
まず、業務フローです。
会社の規模によっては、これだけで結構大変です。
また、昨今のクラウドなどのアセスメントには
使えそうで使えないように思います。すべてが
ハイリスク領域になりうるためです。
対費用効果の部分も力技になりそうですが、具体性はありますでしょうか?

2011/03/14(月)22:11| URL | CISO #- [ 編集]

コメントありがとうございます。

CISO様

コメントありがとうございます。
気が付くのが遅くてレス遅れました。

業務フローは重要業務のみとして、「仕入先」、「取引先」、「自社」、「顧客」の4つの枠を作り、枠をまたいで情報交換が行われているものを中心にピックアップしていくものです。業務フローを作るのが目的ではないので、あくまでも簡易に考えています。事業単位でA4一枚に収めることを目指しています。

クラウドサービスについては、クラウドサービス自体をリスクアセスメントするのではなく、重要資産の事業的影響を考慮して、リスクアセスメント結果から、クラウドサービスを選択するか、自社で持つかを決定しています。

リスクアセスメント手法については、日々、悩んでおります。なんらかの欠点があるものです。
良い方法があればと思っています。

今後ともどうかよろしくお願いいたします。

2011/03/16(水)20:12| URL | からっぽのロック #- [ 編集]

コメントの投稿


秘密にする

«  | HOME |  »


カレンダー

10 | 2017/11 | 12
- - - 1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 - -

Twitter

プロフィール

 新木 啓弘

Author: 新木 啓弘
     (しんき よしひろ)

徳島県出身/東京都在住

株式会社インフォクリエマネジメント 代表取締役

中小企業診断士
ITコーディネータ
ISMS審査員
ターンアラウンドマネージャー(NPO法人金融検定協会認定)

砂にこぼれた雨の滴が
川と流れて海に向くように
人は生きて何を残そうか?
こんな小さな命だけど・・・
  「からっぽのブルース」より

↓従業員特性調査ツール

BasMosバナー

月別アーカイブ

全ての記事を表示する

全ての記事を表示する

ブログ内検索