【要求事項】
組織は、各種のIACSを識別し、装置に関するデータを収集してセキュリティリスクの特性を識別し、それらの装置を論理的システムにグループ化しなければならない。
詳細なリスクアセスメントを行う際には、まず関係する各種IACSの機器・ソフトウェア等の情報資産を洗い出し、情報資産台帳(リスト表)の作成を行う必要があります。
また、詳細リスクアセスメントを「資産ベース」で行う場合は、これが分析対象のキーとなります。
但し、情報資産をサーバー機器などの個別単位で管理すると、膨大な項目数のリストになってしまいます。
これでは管理が非常に煩雑になり、効果的なリスクアセスメントにも繋がりません。
よって、論理的なシステム範囲やセキュリティ領域などでグループ化してまとめ、より適切に管理することが求められています。
例えば、AとBの2つの生産工程ラインがあり、それぞれ専用のサーバー機器群で制御システムが構成される場合は、「Aライン制御システム」「Bライン制御システム」という論理範囲でグループ化すると効果的です。
世界に先駆けた「CSMS認証」の取得を目指す方々を、いち早くサポートいたします。
0 件のコメント:
コメントを投稿