情報セキュリティ事象
機密性、完全性、可用性のどれかに影響を与える可能性がある状態。前兆・異常・予兆
情報セキュリティインシデント
情報資産への被害や損害が発生した、発生する可能性が高い状態。実害・侵害・緊急事態
JIS Q 31000
リスクマネジメントのための指針を定めた規格
クラウドサービスの責任共有モデル
サービス提供者は基盤のセキュリティを、利用者はデータやアクセス制御に責任を持つ
サイバーハイジーン
日常的に行うセキュリティ対策
情報資産の調査
保有する情報資産を洗い出し、それぞれの価値・重要度・リスクを把握すること
財産損失
事故や不正により組織の資産(お金、設備、物品など)が失われたり減少すること
責任損失
責任を問われて支払うことになったお金
純利益の喪失
事故や障害により想定した売り上げを得られなかった
オペレーショナルリスク
システムや人、プロセスの不備・ミスなどで損失が発生する可能性
サプライチェーンリスク
取引先や委託先が原因で業務や情報資産に損害や影響が出るリスク
地政学的リスク
世界情勢の変化がビジネスに及ぼす影響のこと
年間予想損失額
リスクが発生したときに一年間で予想される金銭的な損失のこと
コスト要因
リスク対策や発生したときにかかる費用
リスクマトリックス
発生確率と影響度を組み合わせてリスクの優先度を可視化する
リスクアセスメントのプロセス
情報資産に対するリスクを洗い出し評価して対応策を決める流れ。
特定→分析→評価→対応策の決定
リスク選好
事業戦略上どの程度リスクを許容するかという考え方
リスクの定性的分析
数値ではなく高・中・低などでリスクを評価する
リスクの定量的分析
数値でリスクを評価する
情報セキュリティ管理策
リスクを管理・低減するための具体的な対策や仕組み
ISMS適合性評価制度
セキュリティ対策の仕組み(ISMS)が一定の基準を満たしているか評価する制度
ISMS認証
ISMSが国際規格に適合していること証明し認証する
JIS Q 27001
ISMSの構築維持に必要なマネジメントの枠組みを規定
JIS Q 27002
27001の具体的なセキュリティ管理策の詳細なリストと説明を提供
JIS Q 27014
経営陣が情報セキュリティをどう統括し組織としてどう意思決定すべきかを定める
テイクダウン
インターネット上の不正サイトや悪意あるコンテンツを削除する
X
LINE
はてな
アプリ
QRコード
URLコピー