兵庫WEB制作.com

【シリーズ:セキュリティ】情報セキュリティリスクアセスメント(2/3)

2018年7月2日

リスク特定、リスク分析、リスク評価を行うプロセス全体を、リスクアセスメントといいます。

情報セキュリティの管理

リスクアセスメントのプロセス

1.リスク特定

リスクを発見し認識し、記述します。

2.リスク分析

特定したそれぞれのリスクに対し、情報資産に対する脅威と脆弱性を考えます。

リスクの発生確率を求めて、実際のリスク発生時の影響の大きさを考える必要があります。

大>中>小で簡易的な比較で表現することが多いですが、被害額、復旧費用といった金額による算出で表現することもあります。

リスクの大きさを金額で分析する定量的リスク分析手法と、金額以外で分析する定性的リスク分析手法の2種類が分析手法としてあります。

3.リスク評価

リスク評価は、分析したリスクに対し、どのように対策を行うかといったものです。

リスク分析の結果を基に、あらかじめ設定された評価基準などを用いて、リスクを評価、対策の優先度をつけます。

リスク選好とリスク忌避

リスクのある取引を行うことをリスク選好といい、リスクを避けるために取引しないことをリスク忌避(きひ)といいます。

リスクのレベル

リスクには、重大度(重篤度)と、発生の可能性という2つの度合いがあります。

これらの組み合わせにより、リスクレベルを見積もり、リスクマトリックスで決定します。

リスクマトリックスの例

関連記事
【シリーズ:セキュリティ】情報セキュリティリスクアセスメント(1/3)
– –

【ホームページの制作・更新・運用】お困りのことがあればご相談ください

カテゴリ

最新コラム

Facebook TWITTER LINE