ISO 27001に合わせたい企業のリスク評価方法を定義しているところです。この規格では、目的はCIA(機密性、完全性、可用性)の保護であることを明確に述べています。
リスク方法論で、機密性、完全性、および可用性と比較して各資産/プロセスの結果にスコアを個別に与えるか、または各資産/プロセスに単一のスコアを与えるだけで十分ですか?ほとんどの承認されたツールでは、結果の単一のスコアとして扱います。
[〜#〜] not [〜#〜] CIAごとに独立して結果にスコアを付けることは正しいアプローチですか?
いいえ、C.Iで各制御領域を評価する必要はありません。 &A.組織内の管理項目の全体的な状態のスコアは1つで十分です。各領域の単一のスコアも混乱を減らします。最終的に、評価がどのように行われるかに関する決定は、6.1.2の条項の一部です。詳細については、以下を参照してください。
リスク評価がどのように見えるべきかについては多くの神話がありますが、実際にはISO 27001:2013の要件はそれほど難しくありません。ここに、6.1.2の要件を示します。
1)情報の機密性、完全性、可用性の喪失を引き起こす可能性のあるリスクを特定する方法を定義します
2)リスクの所有者を特定する方法を定義する
3)結果を評価し、リスクの可能性を評価するための基準を定義する
4)リスクの計算方法を定義する
5)リスクを受け入れるための基準を定義する
したがって、基本的には、これらの5つの要素を定義する必要があります。それだけでは十分ではありませんが、さらに重要なこととして、それ以上は必要ありません。つまり、物事を複雑にしすぎないようにします。
[〜#〜] source [〜#〜]注:この人は考慮しませんdefinitiveしかし、彼は私がかなりうまく言ったことを要約します。
私はISO 27001についてあまり詳しくありませんが、CISSP作成者がこれについてどのように考えているかは知っています。彼らは、リスク評価のための定性的および定量的な方法を提案しています。結果は優先リストであり、(私は)各資産の金銭的価値です。 (CISSPによると)CIAはこの方程式で大きな役割を果たしていません。次の例が示すように、私はそれが正しいと思います。
脆弱性は、従業員がソーシャルエンジニアリング攻撃を受けやすく、脅威がランサムウェアであるという事実だとしましょう。さらに、人事担当者がこれに最もさらされていると仮定しましょう。分析によると、ランサムウェアがローカルボックスを暗号化し、ファイルサーバーに拡散せず、ローカルマシンのバックアップがある場合。合計Xでの復元作業を定量化し、最後のバックアップポイントから攻撃が発生した時点までの作業の損失を平均してYと言います。次に、単一の損失予測は(X + Y)*#(HR従業員)*(これが発生する確率)です。 CIAのどれも実際には影響を受けていません(人事部門は運用を続けています)が、金銭的なリスクのかなり良い図があります。
免責事項:私はもちろん単純化しています。定性的な考慮事項、技術/運用部門への脅威は除外しましたが、あなたの言うとおりだと思います。