前回、説明すればよかったのですが、規格には、具体的なリスクアセスメントの手法は示されていません。また、リスクアセスメントの手法は幾つかの方法があります。
ここで、紹介する手法は、GMITS(The Guidelines for the management of IT Security:ITセキュリティマネジメントのためのガイド)のISO/IEC TR 13335-3:1998で紹介されている例を参考にしたものです。
まず、リスクアセスメントの最初の作業として、情報資産の機密性(C)、完全性(I)、可用性(A)を評価します。
規格要求事項に示されているリスクアスメントの流れは次のようになっていますが、順番としては逆ですが、4)にあたる作業です。
1)資産及び資産の管理責任者を特定する。
2)それらの資産に対する脅威を特定する。。
3)特定した脅威がつけ込む可能性のある脆弱性を特定する。
4)機密性(C)、完全性(I)、可用性(A)の喪失が及ぼす影響を特定する。
事故等の結果としてCAIの喪失による発生コストを予測する作業とといえます
CAIそれぞれについて評価しますが、評価は、「大・中・小」のようなランクに分けるのが効果的でしょう。ただ、3ランクに分類すると、評価値が中央に集中する傾向があるため、4ランク、あるいは、それ以上の分類も良いでしょう。しかし、あまり細分化しても意味が無いように思います。
最初の作業は、CAIそれぞれにランク分けの基準を作ることです。
これも会社によって異なることも多いと思いますので、
例えば、次のような基準が考えられます。
・機密性評価レベル3:機密性の喪失(情報の漏洩、盗難、不正利用等)が、事業業績に大きな影響(概ね、前年度売上高の10%以上の損失が予想される)を与える可能性を有するもの。
・機密性評価レベル2:機密性の喪失が、事業の継続、事業の業績に軽微な影響(概ね、前年度売上高の10%未満の損失が予想される)を与える可能性を有するもの。
・機密性評価レベル1:機密性の喪失による、事業への影響はほとんど無いもの。
機密性に関しては、これに、「極秘情報」、「部外秘情報」、「社外秘情報」などのと組み合わせるのも良いでしょう。
当社では、4ランクの分類定義をお勧めしており、第4レベルは、ISMSの本質に関わる「組織が存立するための核となる情報資産」を定義してもらいます。
各事業者が、利害関係者に信頼を与えるために堅守しなければならない・・・といったISMS認証取得の動機の部分について明確にし、メリハリのある情報セキュリティを講じるものです。
ご支援中のA社の場合は、大手企業からの委託事業比率が大きく、委託元企業へのアピールがISMS認証取得の動機でした。ならば、委託元から預った業務関係情報を確実に保護するISMSが必要であることをご理解いただきました。
基準が決まれば、先に洗い出した情報資産を具体的に分類していきます。
幾つか、例を示して、残りは宿題とさせていただきます。
次回、リスクアセスメント(3)では、グループ化について説明します。
