リスクグループ分析対策表(記入例)について
リスクグループ分析対策表(記入例)についての質問です。
1F-IT-DT-HDのリスクグループでここに挙げられている脅威の種類が16種類の脅威が選択されていますが、どういった基準でこの16種類の脅威が選択されたのでしょうか?
ちなみに脅威一覧表には32種類あります。
また、この脅威にはこの管理策という管理策の選択の問題ですが、これも133の管理策のなかで、脅威の分類別、資産区分別にどの管理策を用いれば、効果的な対策となるかというところが厄介に感じています。
なにかいい方法はありますか。
まず、脅威は各企業の保有している資産の種類や形態、業務形態、物理的環境などの色々な環境によって異なるものであります。
よって、各企業で同一ではなく、また脅威の数や種類は固定・限定されているものではないとことをご認識下さい。
上記のような理由により、「リスクグループ分析対策表(記入例)-1F-IT-DT-HDのリスクグループ」での記載例としております脅威(16種類)は、一般的に考えられる代表的なものを挙げさせていただいております。
ある企業を特定したり、基準を決めているわけではありません。
(あくまでも一例として、ご参照ください。)
例えば、東日本大震災などを考えると、地域や企業の立地場所などによっては、津波や液状化現象などの脅威も考えらるため、「脅威一覧表」に挙げている脅威とは異なる種類のものや数も変わっくるかと思います。
また、「リスク」は、「情報資産」に対する「脅威」と情報資産が持つ「脆弱性」によって変わってくるため、「リスクグループ分析対策表」においても、企業(色々な環境)によっては「脅威一覧(記入例)」で挙げている33種類以上の脅威などを挙げる必要がある場合もあるかと思います。
どの管理策を用いれば、効果的な対策となるかというところに関してですが、確かに厄介ですね。
しかし、それがISMSのリスクアセスメントともいえます。
セキュリティの観点から考えた場合は、リスクを伴いますので、あまりお勧めはできませんが、以下の①、②を徹底的に行い、関連する要素(脅威、資産、資産区分など)の種類や数を減らすのも方法です。
①”脅威”や”資産グループ”の数を減らす。(類似したものをまとめる)
②「実践!!よくわかるリスクアセスメント手法の手引き(ISMS編)」での”3-3.グルーピング”の手法を活用し資産をまとめ数を減らす。
その他に、弊社のコンサル顧客やセミナーの顧客にもよくアドバイスをするのですが、色々と考え出すときりがなく、また、100%は無理なので、ある程度やったら多少の不安があってもそこで完了とすることが重要だと思います。
会社としてどのような方針でISMSを推進するかが重要になるかと思います。