リスク評価に関する
リスク管理のための基礎として、リスクアセスメントは、組織を決定する重要な方法、情報セキュリティマネジメントシステムの計画プロセスの組織の情報セキュリティのニーズです。主なタスクには
、リスクを構成するさまざまな要因の特定、リスク
の可能性と影響の評価、最終的にリスクのレベルまたは大きさの評価、
リスクに耐える組織の能力の
決定、リスクの削減と制御の戦略、目標、優先度の決定、および
リスクの削減の推奨が含まれます。実施のための対策
リスク分析方法
1.定量的リスク評価:セキュリティリスクとその構成要素を数値で分析および評価しようとする方法。
2.質的リスク評価:アナリストの経験と直感、または業界の標準と実践に基づいて、リスクマネージャー要素のサイズまたはレベルを定性的に評価します。
量的と質的の違い
1.量的分析:リスク計算を使用して経済的損失と各脅威が発生する可能性を予測するプロセス。
2.定性分析:計算を使用する代わりに、意見やシナリオに基づいており、リスクの重要なレベルを評価するために評価方法を使用します。
定量分析の概念
1.露出係数(EF):特定の資産に対する特定の脅威によって引き起こされる損失の割合、または損失の程度。
2.単一損失予測(SLE):またはSOC(単一発生コスト)。つまり、単一発生の単一脅威によって引き起こされる潜在的な損失。
3.年間発生率(ARO):評価から1年以内に脅威が発生する回数。
4.年間損失見込み(ALE):またはEAC(推定年間コスト)。これは、1年以内の特定の資産の損失の期待値を表します。
定量分析プロセス
1.資産を識別し、資産に価値を割り当てます。
2.脅威と弱点を評価し、特定の脅威が特定の資産、つまりEF(0%から100%の間の値)に与える影響を評価します。
3.特定の脅威、つまりAROの数(頻度)を計算します。
資産のSLEを計算します。SLE=資産価値* EF(単一損失期待値=純資産価値*エクスポージャー係数)
資産のALEを計算します。ALE= SLE * ARO(年間期待値=単一損失期待値*年間発生率)
定量分析プロセスの例
1.データウェアハウスの資産価値は150,000米ドルです。火災後、データウェアハウスの価値の約25%が破壊されます。その後、SLEは37,500ドル{資産価値(150,000)*露出係数( 25%)= 37500}
2.データウェアハウスの火災によりUS $ 37,500の損失が発生する可能性があり、火災のAROの頻度が0.1(10年に1回発生する)の場合、ALE値はUS $ 3750(37500 * 0.1 = 3750)です。
リスクへの対処方法
一般に、企業は自社にリスクがあることを知っていますリスクに対処するには、転送、回避、緩和、および承認の4つの基本的な方法があります。
リスク評価について
1.現在、定性分析手法が最も広く使用されています。それは非常に主観的であり、アナリストの経験と直感、または業界標準の慣行に基づいて、「高」、「中」、「低」などのリスク管理要素のサイズまたはレベルの定性的な分類が必要になることがよくあります。レベル。
2.定性分析の操作方法は、グループディスカッション(Delphiメソッドなど)、チェックリスト(チェックリスト)、アンケート(アンケート)、人事面接(インタビュー)、調査(調査)など、さまざまです。
3.定性分析は比較的操作が簡単ですが、オペレーターの経験や直感の偏差により、分析結果が不正確になる可能性もあります。
4.定量分析と比較して、定性分析の精度はわずかに向上しますが、精度は十分ではありませんが、定量分析はその逆です。定性分析は、定量分析ほどの計算負荷はありませんが、分析者には特定の経験と能力が必要です。
