詳細リスク分析とは、リスク分析手法のひとつで、情報資産に対して資産価値・脅威・脆弱性・セキュリティ要件を体系的に識別・評価し、リスクの大きさを算出する手法です。
分析は「守るべき情報資産の洗い出し」から始まり、「情報資産の評価」「脅威の洗い出しと評価」「脆弱性の洗い出しと評価」「リスクの大きさの算出」「リスク基準との比較」という手順で進めます。各ステップを丁寧に実施することで、組織が抱えるリスクの全体像を精緻に把握することができます。
最大のメリットは、組織固有のリスクを網羅的かつ定量的に把握できる厳密なリスク分析が可能な点です。リスクの優先順位を明確にしたうえで、適切なセキュリティ対策を選定することができます。
一方で、分析に多大な時間・労力・専門知識が必要であることがデメリットです。そのため、すべての情報資産に一律に適用するのではなく、重要度の高い資産や領域に絞って実施するなど、他のリスク分析手法と組み合わせた運用が効果的です。
ISMSにおけるリスク分析手法の一つである”詳細リスク分析”で行う作業はどれか。
| ア | 情報セキュリティポリシーの作成 |
| イ | セーフガードの選択 |
| ウ | リスクの評価 | エ | リスクの容認 |
答え:ウ
ア:情報セキュリティポリシーは作成しません。イ:セーフガードはリスク対応で行います。エ:容認はリスク対応で行います。
