SC：マネジメントのバックアップ(No.2) - .NET 開発基盤部会 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

概要 †

概念、リスク・アセスメント †

概念 †

リスク＝不確実性

投機的リスク †

（能動的リスクとも言う）

為替、株価のような、

好機と脅威（利益と損失）

の両方の可能性のあるリスク。

純粋リスク †

脅威（損失）のみを含むリスク。
※ 好機（利益）は含まない。

純粋リスクによる損失の種類

直接損失
- タイムラグの無い直接的な損失
- 資産損失、人的損失

間接損失
- タイムラグの有る間接的な損失
- 業務中断、信用失墜などの収益損失
- 賠償金、罰金などの責任損失

対応損失
- 後処理に掛るコスト等
- 復旧や再発防止の費用

情報リスク †

情報セキュリティに関するリスク。

構成要素
- 情報資産
- 脅威
- 脆弱性

間接損失の影響
- 予測し難い。
- 損失が大きい。

リスク・アセスメント †

用語 †

リスク・レベル
リスクの大きさ

リスク基準
重大性を評価する条件

リスク・アセスメント
以下の体系（≒ リスク・マネジメントの計画プロセス）

リスク対応
リスクが顕在化した際の対応（対応計画に従い対応）

リスク所有者
オーナーがアカウンタビリティ（担当、権限）を持つ。

リスク受容
- リスク対応の中の受容の意思決定。
- 受容後はモニタリング対象になる。

残留リスク
- リスク対応後も残留するリスク。
- 特定されていないリスクも含む。
- 保有リスクとも呼ぶ。

効果・目的 †

リスク・アセスメント ≒ リスク・マネジメントの計画プロセスなので、

効果的な、セキュリティ対策プランを導き出す。
限られた予算を有効活用して、最大限の対策効果を得る。

規格、分析方法 †

ISO/IEC 31010 : 2009, JIS 31010 : 2012
リスク・アセスメントの体系的技法の
選択及び適用に関する手引きを提供する。

ベースライン・アプローチ
- 概要
- メリット
- デメリット

非公式アプローチ
- 概要
- メリット
- デメリット

詳細リスク分析
- 概要
- メリット
- デメリット

組合せアプローチ
- 概要
- メリット
- デメリット

リスク・マネジメント、リスク対応 †

リスク・マネジメント †

リスク対応 †

セキュリティ・ポリシ策定 †

セキュリティの組織体制 †

セキュリティ（情報資産の管理） †

クライアントPC †

物理的・環境的 †

物理的 †

環境的 †

人的 †

インシデント管理 †

情報セキュリティ・インシデント

監査 †

セキュリティ監査 †

システム監査 †