« 情報セキュリティガバナンス実態調査2008 | トップページ | u-Kanagawa推進協議会 情報セキュリティセミナーで講演します »

2009年8月24日 (月)

セキュリティ・リスク管理の標準規格「ISO/IEC 27005:2008」

ITproの記事「セキュリティ・リスク管理の新たな標準規格「ISO/IEC 27005:2008」」
からです。

「ISO/IEC 27005:2008 -- A New Standard for Security Risk Management」は、国際標準化機構(ISO)と国際電気標準会議(IEC)が新たに策定したリスク管理プロセスと情報セキュリティ管理にかかわる作業を規格化し、情報セキュリティ・リスク管理向けのガイドラインです。ISMS(Information Security Management System)規格の「ISO/IEC 27001:2005」で規定された一般概念を補足し、効果的なISMSの実装と運用のためには、情報セキュリティ管理に対する系統立てたプロセスと要素を示しています。

ここで示されている情報セキュリティ・リスク管理プロセスの構成要素と各要素の目的は以下の通り。

・状況規定:リスク管理の境界を定義
・リスク分析(リスク特定/評価の段階):リスクの程度を評価
・リスク調査(リスク分析/評価の段階):意志の決定と,組織の目標考慮
・リスク対応(リスク対応/許容の段階):リスクの低減,状態維持,回避,移動
・リスク情報の伝達:意志決定の担当者とそのほかの関係者との間で,リスク情報の交換/共有を通じてどのようにリスクを管理/合意するか
・リスク監視/レビュー:早い段階で組織の視点から好機を捉えることと,刻一刻と変わるリスク状況を随時把握しておくこと

ここで特に注目したいのは、各段階で「インシデント・シナリオ」という言葉が使われ、この影響評価や見通しの予想をするとされていること。
「インシデント・シナリオ」とは、「情報セキュリティ・インシデントで特定の脆弱性や一連の脆弱性を悪用する脅威について記述したもの」とされています。

つまり、この「インシデント・シナリオ」が作れないと効果的なISMSの実装と運用はできない、と読めます。
ISMSの実装と運用がされている組織では、当然リスク管理が行われているわけですが、「シナリオベース」ということではどこまでどのようにやっているのか(できているのか)・・・

|

« 情報セキュリティガバナンス実態調査2008 | トップページ | u-Kanagawa推進協議会 情報セキュリティセミナーで講演します »

ニュース」カテゴリの記事

コメント

コメントを書く



(ウェブ上には掲載しません)




トラックバック

この記事のトラックバックURL:
http://app.f.cocolog-nifty.com/t/trackback/98720/31015360

この記事へのトラックバック一覧です: セキュリティ・リスク管理の標準規格「ISO/IEC 27005:2008」:

« 情報セキュリティガバナンス実態調査2008 | トップページ | u-Kanagawa推進協議会 情報セキュリティセミナーで講演します »