情報セキュリティの「見える化」

最近、○○の「見える化」という見出しが目立ちますが、 ISMSの有効性評価がまさにその「見える化」ですね。 これまではリスクアセスメントを実施して、 そのリスクを低減するための管理策を適用して、 後はPDCAサイクルを回すことにより維持管理する。 これで良かったのですが。。。 情報セキュリティの「見える化」を実施するためは、 管理策の有効性を測るための秤が必要になってきます。 IPAからその指標が出ていますので参考にしてみてください。 http://www.ipa.go.jp/security/fy15/development/metrics/documents/metrics_guideline.pdf もしそれが難しければまずは各々のプロセスの監視のために 身近なデータを収集してそれを比較検討することからはじめましょう。 例えば、情報セキュリティインシデントの収集プロセスでは、 インシデントの発生量やその解決時間、または予兆を測ってもいいですね。 とにかくどんなデータを収集することが可能か検討してみてください。 そこからどんなことが読み取れるかそれが「見える仮」のはじまりですね!

コメントは受け付けていません。

Categories
Bookmarks
Search
Archive