「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>SC:試験]] *目次 [#l2eb6a8e] #contents *概要 [#rc92de33] *概念、リスク・アセスメント [#j2261235] **概念 [#j0f35c00] リスク=不確実性 ***投機的リスク [#ab5d3944] (能動的リスクとも言う) 為替、株価のような、 >好機と脅威(利益と損失) の両方の可能性のあるリスク。 ***純粋リスク [#i7ee38be] -脅威(損失)のみを含むリスク。~ ※ 好機(利益)は含まない。 -純粋リスクによる損失の種類 --直接損失 ---タイムラグの無い直接的な損失 ---資産損失、人的損失 --間接損失 ---タイムラグの有る間接的な損失 ---業務中断、信用失墜などの収益損失 ---賠償金、罰金などの責任損失 --対応損失 ---後処理に掛るコスト等 ---復旧や再発防止の費用 ***情報リスク [#w94b0194] -情報セキュリティに関するリスク。 -[[構成要素>SC:脆弱性#l9ba6f71]] --情報資産 --脅威 --脆弱性 -間接損失の影響 --予測し難い。 --損失が大きい。 **リスク・アセスメント [#hedeb6f2] ***用語 [#i34cef6d] -リスク・レベル~ リスクの大きさ -リスク基準~ 重大性を評価する条件 -リスク・アセスメント~ 以下の体系(≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]) --[[リスク特定>PMP:計画 - リスク#ib52a894]] --[[リスク分析(定性分析)>PMP:計画 - リスク#i6cab6a9]] --[[リスク評価(定量分析)>PMP:計画 - リスク#t0cdf89c]] -[[リスク対応>PMP:実行 - その他#x72fb5f4]]~ リスクが顕在化した際の対応([[対応計画>PMP:計画 - リスク#x654cb60]]に従い対応) --リスク所有者~ オーナーがアカウンタビリティ(担当、権限)を持つ。 --リスク受容 ---リスク対応の中の受容の意思決定。 ---受容後はモニタリング対象になる。 -残留リスク --リスク対応後も残留するリスク。 --特定されていないリスクも含む。 --保有リスクとも呼ぶ。 ***効果・目的 [#m2ba43dc] リスク・アセスメント ≒ [[リスク・マネジメントの計画プロセス>PMP:計画 - リスク]]なので、 -効果的な、セキュリティ対策プランを導き出す。 -限られた予算を有効活用して、最大限の対策効果を得る。 ***規格、分析方法 [#d6ddb138] -ISO/IEC 31010 : 2009, JIS 31010 : 2012 -リスク・アセスメントの体系的技法の~ 選択及び適用に関する手引きを提供する。 -ベースライン・アプローチ --概要~ --メリット~ --デメリット~ -非公式アプローチ --概要~ --メリット~ --デメリット~ -詳細リスク分析 --概要~ --メリット~ --デメリット~ -組合せアプローチ --概要~ --メリット~ --デメリット~ *リスク・マネジメント、リスク対応 [#w3d2c423] **リスク・マネジメント [#ub81a036] **リスク対応 [#i74a9471] *セキュリティ・ポリシ策定 [#c98f4517] *セキュリティの組織体制 [#ed4fa7c1] *セキュリティ(情報資産の管理) [#w6fb1de2] **クライアントPC [#dc9894f1] **物理的・環境的 [#yed3c0a4] ***物理的 [#fc669131] ***環境的 [#m811d885] **人的 [#tb47f3b6] *インシデント管理 [#g9bcb661] 情報セキュリティ・インシデント *監査 [#l4abc1ee] **セキュリティ監査 [#mde57cd4] **システム監査 [#odc95470]