CORPORATE-8-5

2021/2/23 9:282021/3/24 9:08

クライテリア

セキュリティの意思決定は、定期的に行われているリスクアセスメントにともない、リスクとリターンを定量的に評価した上で行われているか。

タイプ

攻めのセキュリティ

観点

プラクティス

FAQ

Q. ISMSを取得していない場合でもYesにできますか？

はい、独自のセキュリティマネジメントサイクルであっても定期的に実施されていればYesになります。

用語解説

リスクアセスメント

守るべき対象である情報資産で発生する可能性のある脅威と、脅威の発生確率や発生した場合の影響度等を評価する方法のこと。

参考資料

リスクアセスメント - IPA

情報セキュリティマネジメントとPDCAサイクル：IPA 独立行政法人情報処理推進機構

対策基準では、基本方針の内容を受けて具体的なルール、いわゆる「管理策」を記述します。「管理策」は、情報セキュリティ上のリスクを減らすための対応策のことで、非常に多くのものがありますが、これらは「技術的対策」と「管理的対策（人的対策・組織的対策・物理的(環境的)対策を含む）」に大別されます。 ...

https://www.ipa.go.jp/security/manager/protect/pdca/risk_ass.html