「平準化」というのは具体的にどういった作業を示唆されているのでしょうか。
リスクマネジメント規程の中にあるグルーピングの平準化に関してまして、「平準化」というのは具体的にどういった作業を示唆されているのでしょうか。
ISM Web store サポートブログも拝読させて頂いたのですが、09.10.2014の記事の中で
『「平準化」とは、同じ情報資産でも、資産価値(機密性、完全性、可用性)の評価が異なる場合があります。それを、再度確認し、資産価値を統一する作業です。』
という説明をされているのですが、①再度確認し ②価値を統一する、という点についてもう少し具体的にご教示頂けないでしょうか。
また、再度確認し、資産価値を統一することが『平準化』ということになるのでしょうか。
貴サイトを拝見する限り、「平準化」がとても重要なキーワードように思われ、お伺いする次第です。
組織が保有している資産は非常に多く、ISMSの適用範囲における洗出し作業の負荷が非常に大きくなります。
そこで、これら作業の負荷軽減と後作業の効率のためには、資産の洗出し作業を分担し、洗出した資産をグループ化するといったことが有効な方法となります。
分担して資産の洗出し作業する際に資産評価も同時に行う場合、資産評価した各人により異なった結果が出てくるため、グループ化する際に調整する必要があります。
これが「平準化」の作業となります。
しかし、資産評価をグループ化した後に行うのであれば、「平準化」作業を行わない場合もあります。
資産評価を、グループ化の前にするのか、後にするのかは、取り決めはありません。
組織の規模や取扱っている資産によって、洗出し方法や資産評価方法、グループ化等のやり方は左右されます。
当サンプル文書では、資産を保有している人(資産価値が分かっている人)が評価し、それらをグループ化することで、グループとしての資産価値を決定するといった手法をとっています。
グループ化したものを資産評価するには、グループ化前の資産にどのような価値があるのかを把握していないと適切な評価をするのは難しいという考え方からです。
ちなみに「平準化」の方法として、グループ化した中で数値が高いものにあわせるといったやり方もあります。
これは、各人から集めた評価で、皆が低い点数を付けているものは、それほど重要でないが、誰かが高い点数を付けていれば、何らかの対策が必要だといった考え方です。
資産の洗出しをする目的は、ISMSの適用対象全体で適切なセキュリティ対策を決定することです。
組織として、保有する資産に対して、適切なセキュリティ対策がとれる方法を決められればと良いかと思います。
