脅威の「影響する資産価値」の判断方法は何でしょうか。
ISMS-B06-1.00-D02脅威一覧表記入例について2つ質問があります。
①災害の「業務災害」をどう理解すればよろしいでしょうか。具体的にどんな例があるのでしょうか。
②「人的要因、過失、計画的悪事」に属する脅威の「影響する資産価値」の判断方法は何でしょうか。
「18資源の誤用~28盗聴」はC、I、Aに全部影響するように見えるですが、記入例ではどのような判断方法で影響しないと判断しているのでしょうか。
例えば、28盗聴はCのみ影響すると書いているが、29盗み見はC、I、A全項目を影響すると書いています。この判断基準は何でしょうか。
①に関してですが、業務災害とは、一般的には業務上の事由による労働者の負傷、疾病、障害又は死亡などを指し、他に事業場の施設・設備や管理状況などがもとで発生した災害もいいます。
②に関してですが、前提として、先の1の質問と同様、組織の状況により異なってくることをご理解ください。
機密性(C)は、認可されていない人やモノ、プロセスに対して、情報を使用させない又は開示しない特性を示しており、情報の秘密を守ることを求め、それに対する評価となります。
完全性(I)は、正確さ及び完全さの特性を示し、情報の正確さや完全さが欠くことで、不利益をもたらす等の事態の可能性を評価します。
可用性(A)は、認可されたものや人が要求したときにアクセスや使用が可能である特性を示し、使いたいときに使えるかどうかを評価します。
ご質問の、サンプル文書集の記入例での「盗聴」は、それにより情報が漏れる可能性はあるが、それだけでは情報の完全性が損なわれることはなく、また使い勝手が悪くなることもないと判断したためで、「盗み見」は、例えば、情報の転売等やフィッシング等への利用といったことによる、完全性や可能性が損なわれる可能性があると判断していたためです。