グループ別リスク分析・評価のリスクの算出方法について教えてください。
ISMS認証取得支援パッケージをを購入させて頂いたものですが、リスク管理マネジメント管理規定の記載事項について確認させて下さい。
※確認項目
”5.2 グループ別リスク分析・評価”の”(3)リスクの算出”について確認いたしたく。
→ 本文では”リスク値=資産価値(機密性、完全性、可用性)x脅威ランクx脆弱性ランク”と算出方法が記入されてます。
資産価値(機密性、完全性、可用性)の内部の計算式を教えて下さい。
例えば、”資産価値=(機密性+完全性+可用性)”などです。
ご指摘の計算式に関してですが、「機密性」および「完全性」、「可用性」を加算するのではなく、それぞれの側面におけるリスク値を求めることとなります。
リスク値=資産価値(機密性、完全性、可用性)x脅威ランクx脆弱性ランク
├→リスク値=資産価値(機密性)x脅威ランクx脆弱性ランク
├→リスク値=資産価値(完全性)x脅威ランクx脆弱性ランク
└→リスク値=資産価値(可用性)x脅威ランクx脆弱性ランク
リスク値を計算する場合、脅威が、情報資産の価値基準(「機密性」「完全性」「可用性」)のどの側面に対して、どのように影響(関係)するのかを検討します。
例えば、「火事」という脅威においては、資産の「機密性(漏えいなど)」はあまり関係せず、むしろ「完全性(情報が完全な状態)」および「可用性(必要なときに使用できる)」といった面に対するダメージが大きいと考えられます。
「完全性」を維持するための対策と「可用性」を維持するための対策では異なるため、加算して考えるのではなく、それぞれのダメージを低減するための対策を検討することになります。
また、「火事」には、「意図的」(放火:意図的に誰かが火事を起こす)および「偶発的」(不注意:偶然に火事が発生する)といった別の要因も考えられます。
この場合、「意図的脅威」および「偶発的脅威」に対して、それぞれの「完全性」および「可用性」に関する脆弱性がないかを識別し、それぞれの対応策を講じることとなります。
上記の説明と同様の内容が、以下のテキストにも記載されていますので、ご参考ください。
・「ISO27001要求事項理解のためのガイドブック」のP120~P130(P129と130が該当部分)
・「ISMS認証取得支援ガイド」のP48
