 |
||||||||||||||
|
||||||||||||||
| 前のページ 1 2 3 4 次のページ | ||||||||||||||
|
||||||||||||||
| リスクアセスメント手法の適用 | ||||||||||||||
|
ここまででISMSの保護対象である情報資産にかかるリスクを確認したが、ここからリスクアセスメント手法の説明をする。 |
||||||||||||||
| GMITS(Guidelines for the Management for IT Security) | ||||||||||||||
|
ISO/IEC TR13335が紹介しているセキュリティの分析手法である。GMITSは、基本的に情報技術(IT)のセキュリティマネジメントをリスクマネジメントも含めどう構築するかの解説書であり、以下の5部で構成されている。
表7:GMITSの構成
リスクアセスメント手法は第3部にあたり、以下の4つのアプローチが説明されている。 |
||||||||||||||
| ベースラインアプローチ(Baseline Approach) | ||||||||||||||
|
一般的な情報セキュリティに関する基準/標準/ガイドラインなどを参照し、一定の確保すべきセキュリティレベルを設定し、リスク評価することなくセキュリティ対策を実施する。 |
||||||||||||||
| 非形式的アプローチ(Informal Approach) | ||||||||||||||
|
組織や担当者の経験や判断によってリスクを評価する手法である。 |
||||||||||||||
| 詳細リスク分析(Detail Risk Analysis) | ||||||||||||||
|
情報資産に対し、資産価値/脅威/脆弱性および現在実現されている管理策を考慮した評価する。 情報資産個々にリスク評価を行うため、リスクに応じた適切な管理策を効率的に選択できるが、労力がかかる。 |
||||||||||||||
| 組み合わせアプローチ(Combined Approach) | ||||||||||||||
|
ベースラインアプローチと詳細リスク分析を組み合わせる手法である。 |
||||||||||||||
|
前のページ 1 2 3 4 次のページ |
||||||||||||||
|
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
|
|
||||||||||||||
|
||||||||||||||
-
-
連載
