重要資産の数値に関して
「ISMS-B06 リスクマネジメント管理規程」にての質問です。
3.2資産の評価項目について
(1)評価基準、(2)資産の区分と理解できたのですが、
(3)価値の決定で何をもって価値が決定されるのかよくわかりませんでした。
サンプルには
機密性、完全性の資産価値が≧4以上の場合
「重要資産とする」とありますが、
この4はどこから出てきた数字でしょうか?
また、<表1 リスク値マトリックス>の中にある「資産価値」の数値と関係があるのでしょうか?
この「4」という数値は、「(2) 資産の区分」にある「機密性」「完全性」「機密性」のランクの数値となります。
このサンプル文書では、「機密性」及び「完全性」の資産価値、すなわち資産の機密性が「極秘レベル(ランク4)」のもの、もしくは完全性が「正常に動作しない場合、会社全体に影響がでるもの(ランク4)」であるものを、重要資産と決めているだけです。
「可用性」も、重要資産の条件とする場合は、「可用性」のランクの数値も考慮に入れる必要があります。
「表1 リスク値マトリックス」の資産価値の数値は、情報資産の「機密性」及び「完全性」、「可用性」のそれぞれの数値が該当します。
例えば、機密性が「4」、完全性が「4」、可用性が「3」の情報資産(実際は、個別ではなくグループ化します)で、脅威が「3」、ぜい弱性が「3」とすると、
機密性に関わるリスク値は、4×3×3=36
完全性に関わるリスク値は、4×3×3=36
可用性に関わるリスク値は、3×3×3=27
となり、それぞれにリスク値に合わせて、対策を行うということになります。
それをまとめているのが、様式「リスクグループ分析対策表」となります。
組織が扱う情報資産や組織の実情によってもこのレベルの設定は変わってくるかと思います。
重要資産をどのレベルに設定するかは、各社の判断となっております。