情報セキュリティマネジメントとPDCAサイクル:IPA 独立行政法人 情報処理推進機構
リスク分析の方法については、現在様々な手法が提案されています。リスクは、業界や業務によって大きく異なるため、デファクトスタンダード的なリスク分析手法はなく、適宜、自組織にあった方法でリスク分析を行っているようです。 ここでは、ISMSにおいて参照されることの多い、「IT セキュリティマネジメントのガイドライン-第3部:ITセキュリティマネジメントのための手法(JIS TR X 0036-3:2001)」より、4つのリスク分析方法を紹介します。それぞれに長所と短所があります。 (1)ベースラインアプローチ 既存の標準や基準をもとにベースライン(自組織の対策基準)を策定し、チェックしていく方法。簡単にできる方法であるが、選択する標準や基準によっては求める対策のレベルが高すぎたり、低すぎたりする場合がある (2)非形式的アプローチ コンサルタント又は組織や担当者の経験、判断によりリスクアセスメン
「リスクゼロ以外、許容できない」という人たちに遭遇するけど、多分それは、みんな不幸になる考え方。
今日書きたいことは、「世の中にはリスク管理の考え方が苦手な人が結構な数いて割と困る」という話です。よろしくお願いします。 「リスクアセスメント」って皆さん聞いたことありますか? なんかアセスメントっていうと小難しい感じの言葉になりますが、要はある物事についてのリスクの評価をする為の手順っていうかやり方みたいなもんでして、ざっくりと 「どんなリスクがあるかを考える」 「そのリスクの大きさや発生確率について考える」 「そのリスクに対してどう対応するか、あるいはしないかを考える」 というようなプロセスで進めるものなんです。 私が知っている限りだと、情報セキュリティマネジメントの一分野としてまとめられているものが一番分かりやすいです。 IPA(情報処理推進機構)のページで読めます。色々面白いです。 https://www.ipa.go.jp/security/manager/protect/pdc
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
