ISO 27001:2013のビジネスプロセスベースのリスク評価方法
私はiso 27001:2013のisms実装に取り組んでいます。これまでのところ、私が資産を使用してきたリスク評価アプローチでは、資産価値評価、脅威、脆弱性、制御の実装ステータス値に焦点を当てて、基礎となる資産に関連するリスクを計算しています。最近、ビジネスプロセスベースのリスク評価に遭遇しました。私はグーグルで検索していくつかの役立つサイトを見つけましたが、採用できるリスク評価方法論や関連するテンプレートに関して具体的なものを見つけることができませんでした。リスク評価のためのプロセスベースのアプローチまたはサンプルテンプレートを作成するための助けを探していただければ幸いです。よろしくお願いします。
通常、リスク分析はプロセスベースです。クライアントとの主要なビジネスプロセスを実行し、各プロセスについて相対的な資産を見つける必要があります。各資産について、ビジネスプロセスへの影響は、資産の混乱の場合に明確に定義する必要があります。影響なし、低影響、中程度の影響、高影響、さらに各資産の脆弱性を強調します。資産の重要性は、ビジネスプロセスの重要性とこの資産の影響に従って定義する必要があります。
GIACを見ることは良い場所だと思います。あなたは多くの実用的な例とケーススタディを見つけることができます。
資産リスクからプロセスリスクとそれらの評価を抽象化する可能性があります。私のプロセスの定義は「ビジネスタスクの説明(プロセス1は注文プロセス管理のようなものです)」となるでしょう
このアプローチでは、プロセスの所有者と一緒に座り、プロセスの意図した結果を妨げる恐れのあるリスクを特定する必要があります。識別されたリスクは、発生確率と影響によって評価できます。プロセス所有者は、そのようなものを評価する必要があります。
- 発生確率
- リスクが発生した場合の金銭的損失(ハードウェアの損傷)
- 評判の喪失(そのようなことに興味がある場合)
- 契約または法律違反による金銭的損失
定量的リスク評価に典型的なマトリックス(発生確率の1つの軸、評価された影響の組み合わせの1つ)を立てて、それに基づいてすべてのリスクを分類できます。これにより、自分でマトリックスを設定する柔軟性が得られ(iso 27001:2013には問題ありません)、実際にプロセスを最もよく知っている人が定義できる個々のリスクをカバーできます。