「リスクグループ分類表」の赤くしてある部分について
「リスクグループ分類表」に赤くしてある部分について質問です。
情報資産価値の所でCIAについての記述がありますが、なぜ別枠でCIAに対する表があるのでしょうか?
これは何に対しての対応表でしょうか?
表中の脅威(破壊、盗難など)と対応させおり、その脅威の発生により可用性、完全性、機密性に影響があるか否かを○(影響有り)で示しています。
なぜ、このような対応をさせているかと言いますと、1つの脅威であっても影響をおよぼすCIA(機密性、完全性、可用性)の個々によって対策が異なる場合があるためです。
例えば...契約書(電子データ)が盗難された場合
・機密性 ⇒ 影響あり(内容を見られてしまいますよね)
⇒ 対策有り(データの暗号化など)
・可用性 ⇒ 影響あり(契約書が無くなってしまいますよね)
⇒ 対策有り(バックアップなど)
・完全性 ⇒ 影響なし(盗難後に破壊される可能性はありますが、盗難だけでは完全性は失われませんよね)
⇒ 対策無し