参考資料集 ISMS
脅威と脆弱性とリスクの関係
脅威とは
脅威とは、それに悪意が伴うかに関係なく、結果的に組織が保有する情報資産に対して害を及ぼす、または発生する可能性のある事象をいいます。
盗難や不正アクセス、紛失、操作ミス、故障などの他に、地震や火災、洪水といったものも脅威と考えられます。
脆弱性とは
組織の情報資産は、多くの脅威にさらされています。
脆弱性とは、組織の情報セキュリティ体制上、これらの脅威に対する攻撃に弱い状態のことを指します。
第三者が脅威となる行為(システムの乗っ取りや機密情報の漏洩など)やを行うことができる欠陥や仕様上の問題点といったシステム上の問題点や、機密情報の管理体制が整っていないなどといった人間の振る舞いに関する問題点も脆弱性となり得ます。
リスクとは
リスクとは、組織の情報セキュリティの脆弱な部分を付いて脅威が侵入し、情報資産の漏えいなどといった被害を及ぼす可能性のことを言います。情報セキュリティが100%完全なものであるならば、リスクは0と言えますが、そのようなことはほとんどなく、組織は常にこのリスクを考慮し、低減するために情報セキュリティを構築することになります。
ISMS/Pmark お役立ちサイト
ISMS/プライバシーマークの構築および運用において、ちょっと役立つ関連サイトをまとめました。
ISMS/Pmark関連 法規制
ISMS/プライバシーマークに関連するガイドラインおよび法規制をまとめました。
ISMS/プライバシーマーク用語集
ISMS/プライバシーマークに関する用語をまとめました。
ISMS構築パッケージ
自力でのISMS認証の取得を目指す方のためのパッケージ。記入例付きのサンプル文書のほか、社員教育用教材、構築を支援するガイドブックが収録されています。
ご意見・ご要望をお寄せください
ISMS/プライバシーマーク 参考資料に関するご意見・ご感想をお寄せください。皆さんのご意見・ご要望をもとに、逐次、資料をアップしております。
