組織は、リスクの識別を開始する前に、リスクアセスメント活動の参加者に対して、方法に関する訓練などの適切な情報を提供しなければならない。
当たり前のことですが、リスクアセスメントを行う前に参加者への教育訓練が必要ですよね。
実際にリスクアセスメントを行うと、メンバーのスキル不足から適切な分析・評価につながらないと感じることが多いはずです。
要求事項でこれを明確している点は、規格(基準)として高く評価できると思います。
世界に先駆けた「CSMS認証」の取得を目指す方々を、いち早くサポートいたします。
2014年3月11日火曜日
4.2.3.2 リスクアセスメントの背景情報の提供
【要求事項】
組織は、リスクの識別を開始する前に、リスクアセスメント活動の参加者に対して、方法に関する訓練などの適切な情報を提供しなければならない。
当たり前のことですが、リスクアセスメントを行う前に参加者への教育訓練が必要ですよね。
実際にリスクアセスメントを行うと、メンバーのスキル不足から適切な分析・評価につながらないと感じることが多いはずです。
要求事項でこれを明確している点は、規格(基準)として高く評価できると思います。
組織は、リスクの識別を開始する前に、リスクアセスメント活動の参加者に対して、方法に関する訓練などの適切な情報を提供しなければならない。
当たり前のことですが、リスクアセスメントを行う前に参加者への教育訓練が必要ですよね。
実際にリスクアセスメントを行うと、メンバーのスキル不足から適切な分析・評価につながらないと感じることが多いはずです。
要求事項でこれを明確している点は、規格(基準)として高く評価できると思います。
2014年3月10日月曜日
4.2.3.1 リスクアセスメント方法の選択
【要求事項】
組織は、組織のIACS資産に関連するセキュリティ上の脅威、ぜい弱性及び結果に基づいてリスクの識別とその優先順位付けを行う、リスクのアセスメント及び分析のための特定のアプローチ及び方法を選択しなければならない。
リスクとは「IEC/TS62443-1-1」において、「特定の脅威が特定のぜい弱性を利用し、特定の結果が生じる確率として表現される損失の予想のこと」と定義されています。
組織は、組織のIACS資産に関連するセキュリティ上の脅威、ぜい弱性及び結果に基づいてリスクの識別とその優先順位付けを行う、リスクのアセスメント及び分析のための特定のアプローチ及び方法を選択しなければならない。
リスクとは「IEC/TS62443-1-1」において、「特定の脅威が特定のぜい弱性を利用し、特定の結果が生じる確率として表現される損失の予想のこと」と定義されています。
但し「IEC62443-2-1の付属書A」では、
確率:人間の干渉による偏りがない自然事象の発生を取り扱うもの
可能性:人間の能力及び意思の推定を取り扱うもの
として、「確率」ではなく「可能性」という用語で表されているので注意が必要です。
実際にリスクアセスメントの方法としては、市販されているリスクアセスメントのガイドブックなどを参照し、自らの組織に適した方法を検討することになるでしょう。
方法の分類については、
①シナリオベース/資産ベース
②定量的/定性的
などがあります。
登録:
投稿 (Atom)