この作業はPlanのときにやるものです。
発芽準備のTOPに戻る 


危険のもとと、キャシャな部分

 資産価値とはまた別に、リスクの定量化をするうえで必要になってくる2つのレベルがある。
それが「脅威」と「脆弱」のレベルだ。
 情報資産を損なうような、起こると考えられる危険(脅威)と、その情報資産のキャシャな部分(脅威が起きた場合につけ込むかもしれない脆弱)のことで、山口大学情報基盤センターではこれを1〜4段階のレベルに分ける考え方を採用した。 
脅威に関しては、どのくらいの頻度で起こるのかということにレベル(数値)をつけ、脆弱は、「脅威の防御レベルとして評価」した、らしい。
ぼうぎょ…何だかゲームっぽいけど、全然そんなことないので、やっぱり頭がぼーっとしてくる。そういうわけで下の緑の表のように私なりに言い換えてみた。




脅威の発生頻度


脅威の発生頻度 レベル1→数年に1回程度発生 レベル2→年に1回程度 レベル3→年に数回 レベル4→月に数回程度
 

脆弱の防御時間

レベル1→脅威が発生してもほぼ完全に防御可能 レべル2→脅威が発生してもほとんど防御可能 レベル3→脅威が発生しても8時間以内に復旧 レベル4→脅威が発生すると復旧に1業務日以上必要

 ちなみに脆弱のほうの規格の原文はレベル2まで同じで、以降→レベル3:脅威が発生してもある程度防御できる。8時間以内の防御時間。 レベル4→脅威が発生するとほとんど防御できない。1業務日以上の防御時間。


やり方によっては、脅威のレベルが3段階だったり、脆弱性のレベル決めに防御時間ではなくリスクの顕在化がどんな人(専門スタッフか、顧客か)の不注意で起きるか、でレベル分けする方法もあるようだ。



お次は…リスク値を計算しよう