機密性と完全性と可用性、脆弱性の意味
※「リスク分析表」で特定された各プロセスにおいて、機密性、完全性、可用性の観点から、脅威を洗い出す。
上記の「機密性」、「完全性」、「可用性」はどういうふうに理解すれば良いのですか。
それと、「ぜい弱性」とは単純に弱点のことなんですか?
もしよければ、ご指導ください。
宜しくお願いします。
「リスク分析表」がどのような書式・内容になってるのかが分かりませんので想像が大分入ってしまいます。
一般的には、「機密性」、「完全性」、「可用性」とは資産。
会社が持っている
-情報:業務関係の資料や個人情報など
-機器:PCやサーバーや撮影機器など
-その他
の価値(会社としての資産の重要度)を示す3要素として使用されています。
・「機密性」とは
その資産の機密が洩れた場合に会社が困る度合。
1点:全く困らない 2点:困る 3点:すごく困る
・「完全性」とは
その資産の内容に誤りがあった場合に会社が困る度合。
1点:全く困らない 2点:困る 3点:すごく困る
・「可用性」とは
その資産が使用できなくなった場合に会社が困る度合。
1点:全く困らない 2点:困る 3点:すごく困る
例えば資産が個人情報の場合
「機密性」が損なわれた場合、3点:すごく困る。
「完全性」が損なわれた場合、3点:すごく困る。
「可用性」が損なわれた場合、3点:すごく困る。
となり、個人情報が非常に会社にとって価値のある資産になりますよね。
前置きが長くなりましたが上記を踏まえて考えた場合、”「リスク分析表」で特定された各プロセスにおいて機密性、完全性、可用性の観点から、脅威を洗い出す。”とは、
資産の「機密性」を脅かす脅威は”盗難”、”紛失”など
資産の「完全性」を脅かす脅威は”改ざん”、”火災”など
資産の「可用性」を脅かす脅威は”紛失”、”破壊”など
のように「機密性」、「完全性」、「可用性」を脅かす脅威にはどのようなものがあるかを洗い出す事だと思います。
なお、”特定された各プロセス”についてですが、想像になってしまいますが、各業務を意味しているのではないでしょうか。
※最終的にまとめると
”「リスク分析表」で特定された各業務で使用される資産の機密性、完全性、可用性を脅かす脅威の洗出しを行う”
と言う事だと思われます。
「ぜい弱性」とは、弱点のことです。
例えば、
「不法侵入(脅威)はドアなどの施錠忘れ(ぜい弱性)を突いて会社が保有する資産に危険(リスク)を及ぼす。」
となります。
「ISMSマニュアル 1.2適用(2)適用除外項目」の定義について疑問があります。 ここでいう除外項目とは、弊社で行っている業務すべてのうち、適用範囲の業務以外の業務でしょうか。 それとも…