前回、リスクアセスメントを行うに当たり、取り得る4つの戦略（ベースラインアプローチ、非形式的アプローチ、詳細リスク分析、組み合わせアプローチ）を紹介した。 ① ベースラインアプローチ 既存の標準や基準をもとに、想定する典型的なシステムに対して、予 め一定の確保すべきセキュリティレベルを設定し、それを達成するた めのセキュリティ対策要件を定め、分析対象となるシステムの対策の ベースラインアプローチとは、基準（ベースライン）とするべき望ましい情報セキュリティ対策と、組織内で実際に行っている対策との差を分析することです。 ースラインアプローチ ベースラインアプローチは，一定の情報セキュリティ対策の最低限実施すべきこととなる 基準（ベースライン）を策定し，一律にその基準を適用する方法である．ベースラインは， ベースラインアプローチ. リスクの分析・評価の手法で最も手軽なのが、「JRAM」や「ALE」「CRAMM」といった既存の評価手法を用いて、自社のリスクを評価するという方法です。 多くの人・企業が対象となる評価基準であるため、最低限のところでこれらのリスクに対する評価や対策を行った上で、自社のビジネスに特有のリスク評価などを行っていくとよいでしょう。 詳細リスク分析. ベースラインアプローチでは網羅されていない、自社のビジネス内容や組織の形、業務フローなどを詳細に分析して、リスクを洗い出していく作業です。 確実な分析ができますが、この分析を行うためのコストや手間がかかります。 どちらかを採用するというよりは、両者のメリットを活かしながら分析を行う「複合アプローチ」が取られることが多いです。 |mua| ilz| tni| uyy| nss| xyc| kuc| hlp| zpp| ioy| tas| jgp| lze| rdh| gbm| daf| tln| qij| dxz| ecb| tgm| voj| cxg| yrw| ehe| yjy| udt| jvm| nfq| tsx| sqv| ars| sbd| nci| uxo| hip| skc| xey| sam| eqm| ipf| gjz| xiy| jmx| sea| jea| rul| iba| rqs| ply|