Risk Evaluation to Risk Treatment to Information Security
Design Safety System to information security
最近読んだ本の宣伝ではありませんが、知ってるつもり、過大評価は自省すべきこと、2023年へのつなぎです。さて記事の中から引用(一部……..)。
知識のコミュニティ
私たちは他の人々の頭のなかにある膨大な量の知識にアクセスできる。誰にでも、それぞれちっぼけではあるが自らの専門領域を持つ友人や親族がいる。たとえば食器洗浄機が何度も故障するときに相談すれば、駆けつけてくれる専門業者もいる。テレビでさまざまな出来事や世の中の仕組みを解說してくれる大学教授や評論家もいる。本もあるし、またインターネットという史上最強の情報源にも思い立ったときにアクセスできる。
それに加えて、モノ自体も情報源となる。ときには家電や自転車の仕組みを見て、修理することもできる。見るだけで、どこが壊れているかが明らかなヶースもある・・・・・・。ギターの仕組みはわからなくても、しばらくいじっていれば弦が鳴ったとき何が起こるか、弦の長さを変えたときに・・・・・・そうした意味では、ギターに関する知識はギターそのもののなかにあると言える。
街を知る最高の方法は、実際にその街を步いてみることだ。街の構造、おもしろい場所、さまざまな場所からどんな景色が見えるかといった情報は、街そのもののなかにある。
今日私たちは、かつてないほど豊富な知識にアクセスできるようになった。テレビを観ていれば、モノがどのように造られるのか、あるいは宇宙の起源はどのようなものかがわかる。それに加えて、なんらかの事実を調べたい場合には、検索エンジンにいくつか単語・・・・・・
現場、現物、現象を原理、原則に基づいてみんなで考えれば何かが解ける。
リスクの識別&評価
リスクの評価は、リスクを識別、分析及び評価する一連のプロセスと定義されています。
 |
|
「リスクの評価」をするための最初のステップはリスクの「識別」です、それは ”危険源(危険源=危害を引き起こす潜在的根源)危険性又は有害源、有害性 (ハザード)例:建設物、設備(機械、装置)、原材料、ガス、蒸気、粉じん等が組織にいる人に負傷ケガや疾病を生じさせる潜在的なハザード(危険源)をもれなく(なれた人は危険と思わないは、まずい)調べ上げよう”、そして、”危険(危険源=危害を引き起こす潜在的根源)性又は有害性等(リスク)≒ ケガ(疾病)の重篤度とそのケガ(疾病)が生じる可能性の組み合わせをもれなく把握し、組織で決定したリスクレベルのマトリックス表を使って評価することです。
では識別は何なの??、例として、猫の雌、雄をそれぞれ別々の部屋に分けたいとしましょう。どうしますか、まず猫が雌か?雄か?を「識別」して、そして、それぞれの猫の雄雌を区別して、部屋別にいれます。
下の絵を見てください(mhlw.co.jpより)
| 「危険(危険源=危害を引き起こす潜在的根源)性、有害性」(ハザード)負傷又は疾病を生じさせる潜在的な根源。 例:建設物、設備、原材料、ガス、蒸気、粉じん等、または作業行動 | 「リスク」:危険(危険源=危害を引き起こす潜在的根源)性、有害性によって生ずるおそれのある負傷(ケガ)や疾病の重篤度 発生する可能性組み合わせ (リスク=影響度x発生頻度) |
「危険(危険源=危害を引き起こす潜在的根源)性又は有害性等の調査 」リスクアセスメント: リスクの識別、分析、評価、リスク対応をすること
【危険(危険源=危害を引き起こす潜在的根源)性の分類(例)】:
● 機械等による危険(危険源=危害を引き起こす潜在的根源)性 ● 爆発性の物、発火性の物、引火性の物、腐食性の物等による危険(危険源=危害を引き起こす潜在的根源)性 ● 電気、熱その他のエネルギーによる危険(危険源=危害を引き起こす潜在的根源)性
● 作業方法から生ずる危険(危険源=危害を引き起こす潜在的根源)性 ● 作業場所に係る危険(危険源=危害を引き起こす潜在的根源)性 ● 作業行動等から生ずる危険(危険源=危害を引き起こす潜在的根源)性
【有害性の分類(例)】:
● 原材料、ガス、蒸気、粉じん等による有害性 ● 放射線、高温、低温、超音波、騒音、振動、異常気圧等による有害性 ● 作業行動等から生ずる有害性
リスクの識別は、組織の目標達成に影響する可能性のある事象を把握し、どのようなリスクがあるのかをアセスします。情報セキュリティー、プラントのプロセス安全、労働安全、環境、品質、どれについても全社的なレベルから業務プロセスの様々段階、ステップでリスクは存在します。各段階、各ステップのリスク識別活動を全員参加で適切にすることが重要です。
リスクアセスメントに先立ってリスクの識別を実施します。リスクの分析には、リスクが識別されていることが必要です。識別されていないリスクがないように、漏れないように、リスク識別は網羅的に行います。ライオンだけを見つけるのではなく、ほかも漏れなく識別する。
Risk Mangement & Risk Matrix
リスク管理の国際規格ISO31000:2018 リスクマネジメントの全体像とリスク評価
リスクマネジメント(管理)の詳細はISO31000をご覧ください。
ISO 31000:2018, Risk management — Guidelines
·情報資産価値リスクを識別するために資産の特定と資産価値のランク付けを行います。機密性(Confidentiality))、完全性( Integility)、可用性(Availability)のCIAの視点から資産の重要度を判定。
情報資産 1.情報資産 1)顧客データ 2)業務ノウハウ 3)業務手順書 2.ペーパー文書 1)内部・外部契約書 2)外部委託契約書 3.ソフトウェア資産 ソフトウェアは、コンピューター分野でハードウェア(物理的デバイス)と異なる、何らかのデータ情報処理を行うアルゴリズム・プログラム、更には関連する文書など。CADソフト AIソフト、DXソフト等々
脅威の特定と重要度のランク付け
重大性の視点:
緊急Catastrophic:企業存続に関わる重大/損傷ダメージ 重大Critical:長期間の業務停止となる 注意:短時間の業務停止をともなう
軽微Marginal :短時間の業務停止、処理効率低下 無視できるMarginal:
頻度の視点:
頻発するFrequent、起きうるProbable、時には起きうるOccasional、起きそうにないRemote、おそらく起きないImpossibe、起こらないIncredible.
1.顧客データに対する脅威・危険度(危険源=危害を引き起こす潜在的根源)
頻度だけでなく、被害額なども脅威評価の基準として利用される。
1)火災で紛失、焼失 2)盗難 データーベースソフト、ハード(PC、USB, HDD),モバイル機器の置き忘れ
・発生頻度: 例として、頻繁に発生、半年~年程度の発生 数年に一度発生2.顧客データに対する脆弱性
1)文書管理が機密情報セキュリティ規定により適切に管理されていない
2)文書管理は機密情報セキュリティ既定はあるが、管理責任が明確でない。
3)文書管理規定に関する教育がなく全社員に周知されていない。3. 3大損失
·直接損失:被害システムを復旧するための費用、
·間接損失:業務損害の賠償費用、
·対応費用:代替手段による復旧作業の人的コスト
リスク対応
リスク分析の結果に対する、リスク対応Risk Treatmentをします。
 |
|
Risk Treatmentリスク対応は、リスク回避、リスク最適化、リスク移転、リスク保有などの対応手段があります。リスクコントロールはリスク回避とリスク最適化です。
リスクアセスメントの結果を確実にマネジメントシステム反映させる(リスク)対応をします。
・リスク回避は、リスク因子を排除する。リスクが大きすぎリスク因子から得るベネフィットがないときには回避します。
・リスク最適化は、リスクによる被害の発生を予防する措置をします、リスクが顕在化したときに被害を最小化にする措置です。 身近な例は、携帯スマホのバックアップやアクセスコントロールの実施、セキュリティ対策でMcAfeeを採用しています。
一般的に、リスク最適化には、予防保守などによる損失予防、バックアップの取得などによる損失軽減、情報資産の分散によるリスク分離などもあります。
・リスク移転は、業務運営上のリスクを他社に転嫁することでリスクに対応する方法です。
・リスク保有は、リスクが受容レベルに収まる、軽微リスクでそのリスクへのコストは損失コストより大きくなる、やリスクが大きくそのリスク対応はできないなどはそのまま保有する。リスク保有は意思マネジメント決定のもとの保有リスクへの対応です。(リスク保有は決してリスク放置するこではありません、マネジメントの決定に基づきます。)
Risk Treatmentリスク対応の選択
4つのリスク(リスク回避、リスク最適化、リスク移転、リスク保有)対応それぞれ選択の境界は明確ではありません。もちろん、企業ごとのポリシー次第で選択するリスク対応方法は違います。ポイントは、次をお忘れなく、
・リスク対応を行ったことよって生じる問題にも対処する。
・リスク対応を行ったことよって新たな業務手順が作成され、新しいリスクが発生する場合のリスクを分析、評価する。
業務継続性の視点からのリスク対応では、多国籍展開や、IT経営の加速化が進んでいるため、戦争やテロ、大規模災害の予測不可能な出来事にも対応しなければなりません。回避したり、保有していたリスクにもバックアップなどで対応することが必要です。
Internet DataCenterは、強固なセキュリティ設計された建物、電源、冗長化のネット、24時間監視体制でデータ保存。災害などの発生で企業や社会は大混乱します.各企業はBCP(事業継続計画:Business Continuity Plan)を策定されています。BCPの実行の、組織や運用体制が確立されている、最近ここ10年の動きです。これはBCM(事業継続管理:Business Continuity Management)です。
Design Safety System
[wpforms id=”969″ title=”true”]
