ページ

3.1 残留リスク

残留リスクの理解が今一正しく浸透していない。「残留リスクなし」の記載があるが、それは「資産なし」と同義ですよ。

受容水準を上回るリスクが問題になりリスク対応の対象になるので、これをクリアしたら「残留リスクなし」と報告したいものですが、残留リスクはリスク対応をしても尚残るリスクのことです。リスク受容水準を少し変えると又顔を出すものですね。



受容基準・受容レベル、リスク評価、リスク対応、リスク低減のサイクリックな流れは、大手企業でもしんどい。中小企業は無理。無理でないようにするには、規格適用(審査)の考え方も幅を持たないと無理。



残留リスクが正しく報告されると、
  • 受容水準の設定の妥当性を検証でき、有効な見直しが可能になる。
  • 領域別(機能、部門、資産分類等)の特性が把握でき、次の手が打てる。

過去 30 日間

過去 1 年間

  • リプラン@20210726
    > 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
  • 情報の廃棄
    情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
  • 外出時の重要情報
    外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
  • A.11 アクセス制御
  • 不在伝達ノート
    不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
  • はじめに
    今の時代に限らず安全安心が一番ですね。個人・法人を問わず組織・ファミリーには留意すべきことが多い。規格を手がかりに試行錯誤です。 見たり聞いたりした事象をセキュリティファーストの観点で捉えた時の管理領域としてマッピングする。管理領域は出来るだけピンフォーカスしたものを記載する。事...
  • |適用範囲に変更はありましたか
    初回の審査でなければ前回審査時に対して変化点の確認を行う。 しかし、適用範囲に変更はありましたか」と聞いても駄目。適用範囲を理解していないから。噛み砕いて、一つ一つ聞いていくしかない。 4.2.1a) 適用範囲の変更の有無を確認する。事業、契約・法規制、ロケーション、資産、組織に...
  • 17799 0.3 セキュリティ要求事項を確立する方法
    セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...
  • A.12.4 システムファイルのセキュリティ
    「目的」 システムファイルのセキュリティ確保 つまらないね。
  • A.15.1 法的要求事項の順守
    「目的」 法律違反回避でしょっ?

人気の投稿

  • A.15.1 法的要求事項の順守
    「目的」 法律違反回避でしょっ?
  • 17799 0.3 セキュリティ要求事項を確立する方法
    セキュリティ要求事項:これは大事なキーワード。ただ一般的過ぎて単に要件と言うのと変わらなくなるが。 情報セキュリティを始めるには情報セキュリティ要求事項の識別から始めることになる。 情報セキュリティ要求事項の識別方法: 1. 組織のリスクアセスメント。ニュアンス的には組織自体が持...
  • A.12.4 システムファイルのセキュリティ
    「目的」 システムファイルのセキュリティ確保 つまらないね。
  • 外出時の重要情報
    外出時・出張時の重要情報 「業者先あるいは客先に出かけて、重要な情報(個人情報のかたまりなど)を受けとったらどうするか」という問題。 カバンに入れて注意して会社に戻る。これが普通。しかし、問題は、自宅に直帰する場合や、そのまま出張する場合。 複数のサイトを回る出張もあれば、複数の...
  • 情報の廃棄
    情報の廃棄 リスク管理では捨てることが重要。余計なものを持たない。管理コストを下げる意味でも重要な概念。 情報には全て捨てる基準を設定しておくこと。その情報を手にしたときに捨てる時期が一目瞭然でなければ成らない。 (1)紙の1枚1枚に書く。やりすぎのケースもあるが。 ...
  • 17799 2 用語及び定義
    規格ごとに定義が変わっていたら困るけど、時代が進めば定義も変わって当然。だから、規格とは別に整理すべきですね。 資産 (sset) 管理策 (control) 指針 情報処理施設(情報処理設備) 情報セキュリティ 情報セキュリティ事象(information security e...
  • 不在伝達ノート
    不在伝達ノート、離席メッセージ帳、営業回覧ノート、セールスメッセージノート、など名前はいろいろ。 目的は、不在者へのメモによる伝達の危うさを回避しようとするもの。伝言メモをノートに書いておく。確実な伝達が可能。机の上に置いたメモは人が歩いた風でもどこかへ行くかも知れない。でも...
  • リプラン@20210726
    > 当初は「ISMS認証規格」をベースにした事例スタディは今なお有意義であり、世の中のデジタル化の傾向が急速に拡大する中ではセキュリティセンスは誰にも欠かせないものと認識されるようになった。 ISMS認証審査をやる人は、規格をベースにしても、普通は自分の行為をベースにしないと、馴...
  • はじめに
    今の時代に限らず安全安心が一番ですね。個人・法人を問わず組織・ファミリーには留意すべきことが多い。規格を手がかりに試行錯誤です。 見たり聞いたりした事象をセキュリティファーストの観点で捉えた時の管理領域としてマッピングする。管理領域は出来るだけピンフォーカスしたものを記載する。事...
  • |部署ではどのようなISMS教育が行われているか?
    各部署の部員が受ける教育の概要を問われる。 部員の構成を確認する。 指導的立場の人、内部監査担当、機密情報に触る人、一般部員、出入りする人・常駐する適用範囲外の人。 それぞれに求められる力量を確認する。 求める力量に対応した教育計画の存在を確認する。 実施状況を確認する。使ったテ...