ISMSの資産価値の算出方法について
資産価値の算出方法がよくわからないので教えてほしいのですが、いくつか方法があるのでしょうか?
機密性、完全性、可用性 を足した物が 資産価値になるのでしょうか??
正しい算出方法を教えてください。
資産価値の
・ 機密性
・ 完全性
・ 可用性
の3つの要素は、個々に独立しております。
資産価値のリスクも、要素毎にリスクが異なります。
よって、3つの要素を足したものを資産価値とする算出方法は、要素を無視した決定方法となります。
一般的には、使用されていないと思います。
算出(計算)するのではなく、3~5段階程度のレベル分けを行うのが一般的だと思います。
「低い」、「中程度」、「高い」、または「無視できる」、「低い」、「中程度」、「高い」、「非常に高い」など
レベルを設ける方法で、3要素個々に資産価値を決定しています。
JIPDECが公開しているリスクアセスメント関係のガイドをご紹介させていただきますのでご活用下さい。
ISMSユーザーズガイド
-JIS Q 27001:2006(ISO/IEC 27001:2005)対応-
-リスクマネジメント編-
http://www.isms.jipdec.jp/doc/JIP-ISMS113-21.pdf