組織は、組織のIACS資産に関連するセキュリティ上の脅威、ぜい弱性及び結果に基づいてリスクの識別とその優先順位付けを行う、リスクのアセスメント及び分析のための特定のアプローチ及び方法を選択しなければならない。
リスクとは「IEC/TS62443-1-1」において、「特定の脅威が特定のぜい弱性を利用し、特定の結果が生じる確率として表現される損失の予想のこと」と定義されています。
但し「IEC62443-2-1の付属書A」では、
確率:人間の干渉による偏りがない自然事象の発生を取り扱うもの
可能性:人間の能力及び意思の推定を取り扱うもの
として、「確率」ではなく「可能性」という用語で表されているので注意が必要です。
実際にリスクアセスメントの方法としては、市販されているリスクアセスメントのガイドブックなどを参照し、自らの組織に適した方法を検討することになるでしょう。
方法の分類については、
①シナリオベース/資産ベース
②定量的/定性的
などがあります。
0 件のコメント:
コメントを投稿