【情報セキュリティ管理】情報資産とリスクの概要、情報資産の調査・分類

情報セキュリティ管理とは?情報資産とリスクの概要、情報資産の調査・分類などについてまとめました。

【情報資産とリスクの概要】

【情報資産の調査・分類】

【リスクの種類】

【情報セキュリティリスクアセスメント及びリスク対応】

JIS Q 31010:2012(リスクマネジメントの規格)では、リスクアセスメントを「リスクアセスメントは,リスク特定,リスク分析及びリスク評価の全般的なプロセスである。」と定義しています。
つまり、「リスクを見つけ、発見されたリスクの大きさを評価し、そのリスクが許容できるか否かを決定する一連の活動」がリスクアセスメントです。

リスク対応

リスク対応は、リスク分析・リスク評価の結果明らかになったリスクに対応方法を講じることです。リスク対応では、リスクの大きさ、顕在化の可能性、情報資産の重要度、予算などを踏まえて最適な対応策をとることが重要となります。
リスク対応は、大きく分けると以下の3つに分類できます。

用語 概要
①リスクコントロール 潜在的なリスクに対して、リスクを回避したり低減したりする対策を講じること。リスク回避・リスク低減・リスク移転などがある。
リスクファイナンス リスクが顕在化した場合に備えて、損失の補てんや対応のための資金確保策を講じること。
リスク受容 リスクの損失額や顕在化の可能性が低いため、予算などとの兼ね合いからあえて対処を行わないこと。

【情報セキュリティ継続】

用語 概要
ビジネスインパクト分析 不測の事態によって、業務が中断したりシステムが停止したりした場合のビジネスへの影響度を分析し、最大許容停止時間や被害損失額などを算定する手順です。BCPの策定のための最初のステップとなります。
ディザスタリカバリ ディザスタリカバリ(Disaster Recovery)は、事業継続マネジメント(BCM)における概念の1つで、自然災害やサイバーテロなどの大規模災害時からシステムを素早く復旧させるための仕組みや措置、及び損害を最小限に抑えるための予防措置や体制です。
RPO RPO(Recovery Point Objective,目標復旧時点)は、障害の発生などの理由により業務が中断した場合に、過去の何時の時点までの状態に戻すのかを示す目標値です。業務中断後いつまでに復旧させるかを示すRTO(Recovery Time Objective,目標復旧時間)とともに、BCP(Business Continuity Planning)を策定する際の設定事項となっています。

選択肢のうち「エ」がRPOの説明として適切です。なお「イ」はRTOの説明です。

【情報セキュリティ諸規程】情報セキュリティポリシを含む組織内規程

【ISMS】

用語 説明
ISMSユーザーズガイド ISMS認証基準(JIS Q 27001:2014)の要求事項について一定の範囲でその意味するところを説明しているJIPDECが作成したガイドです。

【管理策】情報セキュリティインシデント管理、法的及び契約上の要求事項の順守

【情報セキュリティ組織・機関】CSIRT、SOC、CVE、ホワイトハッカー

用語 説明
CSIRTマテリアル 組織的なインシデント対応体制である「組織内CSIRT」の構築を支援する目的で作成されたガイドラインです。JPCERT/CCのWebサイトで閲覧可能です。構想フェーズ、構築フェーズ、運用フェースの3部構成になっていて、ITセキュリティに対応するための情報およびノウハウが提示されています。
CVE 米国MITRE社が管理運営を行っている、脆弱性情報データベースです。世界各国の企業、機関等が広く利用しています。「CVE番号」は、このデータベースに収録された脆弱性情報を一意に識別するために割り当てられる番号で採番形式は「CVE-<西暦年号>-<4桁以上の数字>」と規定されています。
用語 概要
サイバーセキュリティ経営ガイドライン 経済産業省(METI)と情報処理推進機構(IPA)が定めた、サイバー攻撃から企業を守る観点で、経営者が認識する必要のある「3原則」、及び経営者が情報セキュリティ対策を実施する上での責任者となる担当幹部(CISO等)に指示すべき「重要10項目」をまとめたガイドラインです。

【規格】JlS Q 27017

用語 概要
JlS Q 27017:2016 クラウドサービスの提供及び利用に適用できる情報セキュリティ管理策のための指針を示した規格。適用範囲は「この規格は,管理策及び実施の手引を,クラウドサービスプロバイダ及びクラウドサービスカスタマの双方に対して提供する。」とされている。つまり、クラウドサービスの提供者だけでなく利用者も適用範囲に含まれる。
【情報処理入門】テクノロジ系、マネジメント系、ストラテジ系、資格試験
情報処理の基礎知識(テクノロジ系、マネジメント系、ストラテジ系)や資格試験についてまとめました。

コメント

タイトルとURLをコピーしました