【情報セキュリティ管理】情報資産とリスクの概要、情報資産の調査・分類

情報セキュリティ管理とは?情報資産とリスクの概要、情報資産の調査・分類などについてまとめました。

【情報資産とリスクの概要】

【情報資産の調査・分類】

【リスクの種類】

【情報セキュリティリスクアセスメント及びリスク対応】

JIS Q 31010:2012(リスクマネジメントの規格)では、リスクアセスメントを「リスクアセスメントは,リスク特定,リスク分析及びリスク評価の全般的なプロセスである。」と定義しています。
つまり、「リスクを見つけ、発見されたリスクの大きさを評価し、そのリスクが許容できるか否かを決定する一連の活動」がリスクアセスメントです。

リスク対応

リスク対応は、リスク分析・リスク評価の結果明らかになったリスクに対応方法を講じることです。リスク対応では、リスクの大きさ、顕在化の可能性、情報資産の重要度、予算などを踏まえて最適な対応策をとることが重要となります。
リスク対応は、大きく分けると以下の3つに分類できます。

用語 概要
①リスクコントロール 潜在的なリスクに対して、リスクを回避したり低減したりする対策を講じること。リスク回避・リスク低減・リスク移転などがある。
リスクファイナンス リスクが顕在化した場合に備えて、損失の補てんや対応のための資金確保策を講じること。
リスク受容 リスクの損失額や顕在化の可能性が低いため、予算などとの兼ね合いからあえて対処を行わないこと。

【情報セキュリティ継続】

用語 概要
ビジネスインパクト分析 不測の事態によって、業務が中断したりシステムが停止したりした場合のビジネスへの影響度を分析し、最大許容停止時間や被害損失額などを算定する手順です。BCPの策定のための最初のステップとなります。

【情報セキュリティ諸規程】情報セキュリティポリシを含む組織内規程

【ISMS】

【管理策】情報セキュリティインシデント管理、法的及び契約上の要求事項の順守

【情報セキュリティ組織・機関】CSIRT、SOC、ホワイトハッカー

用語 概要
サイバーセキュリティ経営ガイドライン 経済産業省(METI)と情報処理推進機構(IPA)が定めた、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめたガイドラインです。
関連記事
1 【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
2 【開発ツール】設計ツール、構築ツール、テストツール
コンピュータ
技術雑記

コメント

タイトルとURLをコピーしました