リスク対策
リスクレベルとはリスクの重大性を評価するための目安とする条件のこと。
リスクレベルを基に優先度をつける。
4つある。
リスク回避: リスクの原因を排除すること。
個人情報の破棄、WEB公開の停止
リスク移転: リスクをほかの人に肩代わりしてもらうこと。
保険など
リスク軽減: リスクによる損失を許容量内に軽減させること。
情報の暗号化
リスク保有: 対策を講じないでそのままにすること。
リスク回避は発生率の高いものに使用し、リスク軽減は発生率の低いものに使う。
セキュリティバイデザイン
セキュリティ対策を検討すること。
あくまでも検討なので、何かを実施するということではない。
情報セキュリティマネジメントシステム
ISMSともいう。
情報を適切に管理し、機密を守るためのシステムを確立し、継続的に運用・改善をしていくこと。
流れとしては次のようになる。
リスクの分析 → リスクの評価 → 管理目的および管理対策 → 適応宣言書の作成。
何かのリスクがあったとき、それはどんなものかをまず考える。
次にどれくらいのリスクなのかを考えて、さらにそれに対してシステムなどをどうやって管理していくかまたはどう守っていくのかの対策を考える。
最後に「こうやりましょう!」と決めて宣言書としてやり方を残す。
コメント