リスクアセスメントの困難さ
問 題 《情報セキュリティアドミニストレータ午後対策》
「情報資産の価値=保護すべきもの」という観点で情報資産の洗い出しを行った後、
“情報資産の価値を算定”→“情報資産の価値に対する脅威の洗い出し”→“脅威に対する脆弱性の評価”
を行い、最終的にマネジメント(管理策)をまとめるわけだが、
これは、「実際に作業をしながら理解していった」(舛井氏)というように一筋縄ではいかないようだ。
第1回 BS7799・ISMS認証のダブル認証を実現
~ 新日鉄ソリューションズ編 ~
http://www.atmarkit.co.jp/fsecurity/rensai/isms_case01/case01.html
(1)なぜ一筋縄ではいかないのでしょうか?
(2)なぜ一筋縄ではいかないのか、その理由を50字以内で述べよ。
( (1)の午後対策です。指定文字数でまとめてみましょう。)
(3)感想・調べたこと
スポンサードリンク
解 説 《情報セキュリティアドミニストレータ午後対策》
(1)なぜ一筋縄ではいかないのでしょうか?
>リスクアセスメントは「必要な資産に優先順位をつけて保護する」と
>いうスタンスのため、1つの資産に対して複数の角度から価値や脅威を
>算定して管理策を作成する必要があるため。
>いうスタンスのため、1つの資産に対して複数の角度から価値や脅威を
>算定して管理策を作成する必要があるため。
>各組織で抱えてる資産は様々であり、その資産に対して優先順位をつ
>けるには、その組織の資産を充分に理解する必要がある。
>そして、その資産に対して様々な視点から価値やリスクを考慮する必
>要があるため。
>けるには、その組織の資産を充分に理解する必要がある。
>そして、その資産に対して様々な視点から価値やリスクを考慮する必
>要があるため。
みなさんも今目の前にある情報資産について、情報資産の価値、脅威の洗い出し、
脅威に対する脆弱性分析、セーフガード選択、管理策を考えてみてください。
一筋縄で行かないのが実感できると思います。
脅威に対する脆弱性分析、セーフガード選択、管理策を考えてみてください。
一筋縄で行かないのが実感できると思います。
>安対制度と同じようには進められないから。
情報資産はモノを物理的に守るだけではダメですからね。
その点が安対制度と同じようにはいかないですね。
その点が安対制度と同じようにはいかないですね。
(2)なぜ一筋縄ではいかないのか、その理由を50字以内で述べよ。
( (1)の午後対策です。指定文字数でまとめてみましょう。)
>----+----1----+----2----+----3
>リスクアセスメントは1つの資産に対して複数の角度から価値や脅
>威を算定して管理策を作成する必要がある為(50字)
>リスクアセスメントは1つの資産に対して複数の角度から価値や脅
>威を算定して管理策を作成する必要がある為(50字)
>1つの情報資産に対して複数の角度から価値や脅威を算定し、資産
>の優先順位に応じて管理策を作成するため。
>の優先順位に応じて管理策を作成するため。
>資産の洗い出しを行う場合、1つ資産に対し複数の角度から脅威を
>算定し管理策を作成する必要があるため。
>算定し管理策を作成する必要があるため。
>組織が抱えている資産に対して様々な視点から価値やリスクを考慮
>し、検討しなければならないため。
>し、検討しなければならないため。
常日頃から、10、20、30、40、50字程度でまとめるように意識しておくと試験の時に、
どのくらいの感じでまとめればよいのか感覚がつかめると思います。
どのくらいの感じでまとめればよいのか感覚がつかめると思います。
(3)感想・調べたこと
>情報資産に対する価値や脅威の算定は難しいですね。
>例えば、WEBサーバならば、外部からの攻撃や内部からの攻撃、
>サーバの故障、災害による破壊や故障、操作ミスなどちょっと
>考えただけでもこれだけの脅威が思いつく、これに対して現状の
>対策状況などを加味して価値を策定して優先順位をつけなければ
>ならないのだから、一筋縄ではいきませんね。
>例えば、WEBサーバならば、外部からの攻撃や内部からの攻撃、
>サーバの故障、災害による破壊や故障、操作ミスなどちょっと
>考えただけでもこれだけの脅威が思いつく、これに対して現状の
>対策状況などを加味して価値を策定して優先順位をつけなければ
>ならないのだから、一筋縄ではいきませんね。
まさしくその通りです。
それに加え実際は、いつまでにリスク分析を終わらせなければならないとか、
費用の問題も出てきて大変な作業になります。
それに加え実際は、いつまでにリスク分析を終わらせなければならないとか、
費用の問題も出てきて大変な作業になります。
>ISMSについての知識が不足しているので、
>もう少し本を読んで勉強してみようと思います。
>もう少し本を読んで勉強してみようと思います。
ISMSのMはマネジメントのMで管理という意味です。
情報セキュリティを管理するとは?というのが命題です。
この命題を意識して、ISMS適合性評価制度 Ver.2.0を読んで見てください。
市販の本を読んでみるのもいいかと思います。
http://www.isms.jipdec.or.jp/v2/v2.html
情報セキュリティを管理するとは?というのが命題です。
この命題を意識して、ISMS適合性評価制度 Ver.2.0を読んで見てください。
市販の本を読んでみるのもいいかと思います。
http://www.isms.jipdec.or.jp/v2/v2.html
sponsored link
このページ
のTOPへ注意事項
サイト内の内容は一部、もしくは全文の無断転載を禁止します。また、サイト内の内容を参考にする場合は各自の良識と責任のもとでお願いします。サイト内の内容を利用する上で生じたトラブルは、当方では一切の責任を負いません。
