 |
||||||||||||||||||
|
||||||||||||||||||
| 前のページ 1 2 3 4 次のページ | ||||||||||||||||||
|
||||||||||||||||||
| リスク評価 | ||||||||||||||||||
|
表2に示したように、情報セキュリティ上のリスクをゼロにすることは不可能であり、また情報セキュリティ対策にかけるコストには限りがあることから、Planフェーズにおいて、リスク評価(あるいはリスク分析ともいう)を行う。 リスク評価とは、組織の保有する情報および情報処理設備に関連する資産(図2)に対して、その価値/重要度/脅威(注1)/脆弱性(注2)に基づき(表3)、リスクを明確にすることである。リスクを明確にした上で対応優先順位の高いリスクから、具体的な対策の内容やその範囲・深さなどを検討する。  図2:情報および情報処理設備に関連する資産の例
表3:脅威と脆弱性の例
※注1:
脅威とは、情報システムや組織に損失や損害をもたらすセキュリティ事故の潜在的な原因のこと。 ※注2: 脆弱性とは、脅威発生を誘引する情報資産固有の弱点やセキュリティホールのこと。 出所:ISMSユーザーズガイド -ISMS認証基準(Ver.2.0)対応- -リスクマネジメント編- リスク評価の結果に基づき、具体的に情報セキュリティ対策を検討していく。表3にあげた脅威や対応する脆弱性の例を参考にしながら、図3に示すように人的対策、物理・環境的対策、システム・ネットワーク対策をバランスよく相互に補完させながら実施することが大切である。  図3:情報セキュリティ対策実施のイメージ |
||||||||||||||||||
|
前のページ 1 2 3 4 次のページ |
||||||||||||||||||
|
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
|
|
||||||||||||||||||
|
||||||||||||||||||
-
-
連載
