Please enable JavaScript.

Coggle requires JavaScript to display documents.

情報セキュリティ e155756:金城愛梨 (情報セキュリティマネジメント (リスクアセスメントとリスク対応 (リスク算定…

- - - - 西日本(沖縄も含めて) : 60Hz
        
        アメリカから
      - 東日本 : 50Hz
        
        ヨーロッパから
  - - - 4.1 組織及びその状況の理解
      - 4.2 利害関係者のニーズ及び期待の理解
      - 4.3 xxxマネジメントシステムの運用範囲の決定
      - 4.4 xxxマネジメントシステム
    - - 5.2 方針
      - 5.3 組織の役割，責任及び権限
      - 5.1 リーダーシップ及びコミットメント
    - - 6.1 リスク及び機会への取り組み
      - 6.2 xxx目的及びそれを達成するための計画策定
    - - 7.1 資源
      - 7.2 力量
      - 7.3 認識
      - 7.4 コミュニケーション
      - 7.5 文書化した情報
    - - マネジメントレビュー
  - - - 4 組織の状況
        
        4.3 情報セキュリティマネジメントシステムの運用範囲の決定
        
        4.4 情報セキュリティマネジメントシステム
      - 6 計画
        
        6.1.2 情報セキュリティリスクアセスメント
        
        6.1.3 情報セキュリティリスク対応
        
        6.2 情報セキュリティ目的及びそれを達成するための計画策定
      - 8 運用
        
        8.2 情報セキュリティリスクアセスメント
        
        8.3 情報セキュリティリスク対応
- - - - 組織及びその状況の理解
      - 利害関係者のニーズ及び期待の理解
- - - - ISMSの適応範囲の決定
      - ISMS
    - - 一般
      - ISリスクアセスメント
      - ISリスク対応
      - IS目的及びそれを達成するための計画策定
  - - - ISリスクアセスメント
      - ISリスク対応
- - - - 機密性
        
        以前：許可されたものだけが情報にアクセスされることを確実にすること
        
        現在：許可されていない個人・エンティティまたはプロセスにたいして，情報を使用不可または非公開にする特性
      - 3大要素から6要素・7要素へ
      - 完全性
      - 可用性
      - 真正性
      - 責任追跡性
      - 否認防止
      - 信頼性
  - - - リスクマネジメント：リスクに関してソシ位を指揮し管理する調整された活動
      - リスクアセスメント：リスク分析からリスク評価までの全てのプロセスであり，リスク因子とは脅威と脆弱性を指す．
    - - 経済産業省とJISの定義では，結果そのものの「よい」，「悪い」により規定されるものではなく，結果に対する不確実性をリスクとしている
  - - - 基本方針の策定
      - リスクアセスメント
        
        リスク分析：リスク因子の識別およびリスク算定
        
        リスク因子
        
        脅威
        
        脆弱性
        
        リスク評価：許容可能なものであるか評価
      - リスク対応
        
        リスクコントロール
        
        リスクが発生する可能性の減少→FWの設置
        
        リスクによる損失の減少→サーバの二重化
        
        リスクファイナンス
        
        個人情報の漏えい→損害保険
        
        キャッシュフロー確保
      - リスク受容
    - - 監視活動の役割
        
        計画通りに逸しされた，またはされていないことを確認し，次の計画に反映させていくこと
        
        実施されていない場合は，その原因を明らかにするとともに，その責任の所在を明らかにすること
      - 分類
      - 活動
        
        内部通信制度 → だれでも
        
        2006年施行：公益通報者保護法
        
        公益通報者保護法制度
      - 方法
        
        準拠性の確認
        
        社内規定，対策基準，業務手順書等に従って運用されているか
        
        妥当性の確認
        
        基本方針，社内規定，対策基準，業務手順等がリスクや効率性と比較して適切であるか
    - - リスク対応計画の策定
      - 運用
  - - - 識別方法
        
        業務プロセスアプローチ
        
        情報システムアプローチ
        
        物理環境アプローチ
      - 資産例
        
        紙媒体
        
        磁気媒体
        
        情報（データ）
    - - 評価の軸
      - 評価尺度
    - - 脅威
        
        物理的損害
        
        火災，水害，汚染，...
        
        機能を危うくすること
        
        ミス，権限乱用，権限詐称...
        
        分類基準例
        
        L1 ~ L5
      - 脆弱性
        
        分類基準例
        
        L1 ~ L5
    - - 式例
        
        [リスク値] = [情報資産の価値] × [脅威] × [脆弱性]
      - 点数差が出ることがポイント
      - 意義
        
        リスクの大きさについて，だいたいの傾向が把握できる
        
        リスク値算定のプロセスが明確である
      - ポイント：性格な定量化は困難でも，可能な限り定量化を試みることが重要
        
        定性的リスク評価から
        
        定量化的リスク評価へ
        
        → 最後は経営者の判断