ISMSの資産価値の算出方法について

05.12.2009 | ISMS全般.

資産価値の算出方法がよくわからないので教えてほしいのですが、いくつか方法があるのでしょうか?

機密性、完全性、可用性　を足した物が　資産価値になるのでしょうか??

正しい算出方法を教えてください。

資産価値の

　・機密性
　・完全性
　・可用性

の3つの要素は、個々に独立しております。
資産価値のリスクも、要素毎にリスクが異なります。

よって、3つの要素を足したものを資産価値とする算出方法は、要素を無視した決定方法となります。
一般的には、使用されていないと思います。

算出（計算）するのではなく、3～5段階程度のレベル分けを行うのが一般的だと思います。

「低い」、「中程度」、「高い」、または「無視できる」、「低い」、「中程度」、「高い」、「非常に高い」など
レベルを設ける方法で、3要素個々に資産価値を決定しています。

JIPDECが公開しているリスクアセスメント関係のガイドをご紹介させていただきますのでご活用下さい。

ISMSユーザーズガイド
－JIS Q 27001:2006(ISO/IEC 27001:2005)対応－
－リスクマネジメント編－
http://www.isms.jipdec.jp/doc/JIP-ISMS113-21.pdf

文書管理についてご相談させて下さい。当社はJISQ27001を認証取得しているのですが、認証取得適用範囲に含まれる1か所の営業所が、それ以前にJISQ9100を認証取得しています。そこに限り一部の書…

10.17.2011 | ISMS全般

１点質問ですが、規程書と手順書の違いがよくわからないのですが、手順書というのは必ず作らなければならないのでしょうか？作らなければならいないとしたら、どういったもの…

09.02.2011 | ISMS全般

当社のISMSルールの中での郵送についてご相談させて下さい。現在当社のルールにて、「普通郵便」を禁止としており、必ず追跡可能な送付方法を取るようルール付けています。そこで…

お世話になります。９００１のことで少しお聞きしてもよろしいでしょうか。環境、情報、品質の３規格要求事項の並びが統一されていないためか、統合マニュアルを作成するにあ…

お世話になります。 A15.3で要求されているシステム監査についてお尋ねします。対応は、システム監査を要求される場合の対応と理解すればよいのでしょうか？要求する相手は、内部監…

通信・運用管理規程 P2　2.2　変更の管理下の(2)に　「影響範囲、リスク評価を行う。」　とありますが、この部分は「運用申請書」のリスク評価表の部分のことを言っているのでしょうか…

05.12.2009 | ISMS全般

資産価値の算出方法がよくわからないので教えてほしいのですが、いくつか方法があるのでしょうか? 機密性、完全性、可用性　を足した物が　資産価値になるのでしょうか?? 正しい算…

ISMSサンプル集、活用させていただいています。ありがとうございます。教えていただきたいのですが、「教育・研修管理規程」に「3 雇用期間中(A.8.2)」および「3.1 経営陣の責任(A.8.2.1)」の定めが含ま…

メールサーバーのログについて質問があります。ログは、会社で保存しなければ不味いのでしょうか？ログを見るだけで、見ていますという形にしたら駄目でしょうか？理由は以下…

一般社員向けの個人情報保護に関する教育は、市販されているテキストで全体を教育すれば、年に1回でも大丈夫ですか？たとえば、ＪＩＳＡなどで販売されているテキストを使用し…

SEARCH