組織は、各論理制御システムのリスクを軽減するために、基準を策定して優先順位を割り当てなければならない。
4.2.3.3【上位レベルのリスクアセスメント】の結果を踏まえながら、4.2.3.4【IACSの識別】で洗い出した「情報資産台帳」と4.2.3.5【単純なネットワーク図の策定】で作成した「ネットワーク図」をもとに、優先順位づけを行う作業になります。
基準としては、A・B・Cの3レベルでグループ分けするなどが考えられます。
「情報資産台帳」からはシステム構成単位、「ネットワーク図」からは論理ゾーン単位などで優先を検討してはどうでしょうか。
ここで割り当てた優先順位は、この後の詳細リスクアセスメントを行う上でのインプットへつながっていきます。
0 件のコメント:
コメントを投稿