JP2005216003A - Risk management support method and risk management support program - Google Patents
Risk management support method and risk management support program Download PDFInfo
- Publication number
- JP2005216003A JP2005216003A JP2004022036A JP2004022036A JP2005216003A JP 2005216003 A JP2005216003 A JP 2005216003A JP 2004022036 A JP2004022036 A JP 2004022036A JP 2004022036 A JP2004022036 A JP 2004022036A JP 2005216003 A JP2005216003 A JP 2005216003A
- Authority
- JP
- Japan
- Prior art keywords
- risk
- management
- asset
- classification
- evaluation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
Abstract
Description
本発明は、資産に関するリスク管理支援方法及びリスク管理支援プログラムに関する。 The present invention relates to a risk management support method and a risk management support program related to assets.
近年、企業活動において、リスク管理が重要視されている。リスク管理とは、企業や特定の事業にかかわるリスクを分析し、分析したリスクの管理やリスクにより発生する損失の制御などを行うことである。このため、リスク管理においては、その企業の資産についてのリスク評価を行うことがなされる。 In recent years, risk management has been emphasized in corporate activities. The risk management is to analyze a risk relating to a company or a specific business, and to manage the analyzed risk and control a loss caused by the risk. For this reason, in risk management, risk assessment is performed on the assets of the company.
そこで、効率的で効果的なリスク管理を実現するために、リスクを評価するリスク管理方法が開示されている(例えば、特許文献1参照。)。この特許文献1において、制御部は、資産としての施設に関する施設情報と地域情報とに基づいて、この施設で発生しうるリスクの実質的な損害額を算出する。制御部は、リスクの発生可能性に基づく係数(発生係数)と、影響度合いに基づく係数とを求め、基準金額にこれらの係数を乗じることでリスクの重要度を決定する。制御部は、更に、重要度とリスク回避コストとの比率を求め、求めた比率に基づいてリスク回避対策を実施することの価値を判定する。
ところが、リスク管理は、特許文献1のようにリスク評価を行う前に、その評価を行う対象の資産を把握する必要がある。従来は、資産に関する情報をアンケート形式で回収して集計していた。このため、資産に関する情報を集計した後、各資産について個別にリスク評価を行っていた。従って、管理すべき資産が多くなるにつれて、資産情報の登録、リスク評価やリスク対応を効率よく行うシステムが望まれる。
However, in risk management, before performing risk evaluation as in
本発明は、上述の課題に鑑みてなされ、その目的は、資産に関する情報の登録、リスク評価やリスク対応を効率よく行うことができるリスク管理支援方法及びリスク管理支援プログラムを提供することにある。 The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a risk management support method and a risk management support program that can efficiently perform information registration, risk evaluation, and risk management related to assets.
上記問題点を解決するために、請求項1に記載の発明は、資産のリスク評価を行う管理コンピュータを用いて、リスク管理を支援する方法であって、前記管理コンピュータは、前記資産に関するデータを登録する登録画面からリスク評価画面を表示する表示段階と、前記リスク評価画面の表示項目が選択されることによって、リスク評価値を算出するためのパラメータを設定するパラメータ設定段階と、前記リスク評価画面の表示項目の選択によって、前記パラメータに基づくリスク評価値を算出するリスク評価段階とを含むことを要旨とする。
In order to solve the above problem, the invention described in
請求項2に記載の発明は、請求項1に記載のリスク管理支援方法において、前記管理コンピュータは、リスクに対する対応を促すか否かを判断するための受容基準値を記録した受容基準値記憶部に接続されており、前記管理コンピュータが、前記リスク評価段階で算出したリスク評価値が、前記受容基準値以上のリスクの内容を前記リスク評価画面に表示させて、この表示させたリスクに対する対応を促す対応促進段階を更に含むことを要旨とする。 According to a second aspect of the present invention, in the risk management support method according to the first aspect, the acceptance reference value storage unit in which the management computer records an acceptance reference value for determining whether or not to promote a response to a risk. The risk management value calculated by the management computer at the risk evaluation stage is displayed on the risk evaluation screen with the risk evaluation value calculated at the risk evaluation stage or more, and a response to the displayed risk is made. The gist is to further include an urging response promotion stage.
請求項3に記載の発明は、請求項2に記載のリスク管理支援方法において、前記管理コ
ンピュータは、前記資産のリスクと、これに対応する管理策に関するデータとを記録した分析表データ記憶部を有し、前記管理コンピュータが、対応を行うリスクに対する管理策を、前記分析表データ記憶部から取得して、前記リスク評価画面に提示する管理策提示段階を含むことを要旨とする。
According to a third aspect of the present invention, in the risk management support method according to the second aspect, the management computer includes an analysis table data storage unit that records the risk of the asset and data related to a management policy corresponding thereto. The management computer includes a management measure presentation step of acquiring a management measure for the risk to be dealt with from the analysis table data storage unit and presenting it on the risk evaluation screen.
請求項4に記載の発明は、請求項1〜3のいずれか1つに記載のリスク管理支援方法において、前記資産の分類と、この分類に対応する前記リスクの内容を関連付けして記録した分類データ記憶部を有し、前記パラメータ設定段階は、前記管理コンピュータが、前記資産の分類に関するデータに基づいて前記分類データ記憶部から前記資産のリスクの内容を取得する分類リスク取得段階を含み、前記リスク評価段階は、前記分類リスク取得段階において取得したリスクの内容に対するリスク評価値を算出することを要旨とする。
The invention according to
請求項5に記載の発明は、請求項4に記載のリスク管理支援方法において、前記資産は、情報資産であり、前記管理コンピュータは、分類リスク取得段階における分類を、前記情報資産の資産属性及び取扱属性に基づいて決定する分類決定段階を更に備えたことを要旨とする。 According to a fifth aspect of the present invention, in the risk management support method according to the fourth aspect, the asset is an information asset, and the management computer classifies the asset at the classification risk acquisition stage with the asset attribute of the information asset and The gist of the present invention is that it further comprises a classification determination step for determining based on the handling attribute.
請求項6に記載の発明は、資産のリスク評価を行う管理コンピュータを用いて、リスク管理を支援するプログラムであって、前記管理コンピュータを、前記資産に関するデータを登録する登録画面からリスク評価画面を表示する表示手段、前記リスク評価画面の表示項目が選択されることによって、リスク評価値を算出するためのパラメータを設定するパラメータ設定手段、及び前記リスク評価画面の表示項目の選択によって、前記パラメータに基づくリスク評価値を算出するリスク評価手段を含むことを要旨とする。
The invention according to
請求項7に記載の発明は、請求項6に記載のリスク管理支援プログラムにおいて、前記管理コンピュータは、リスクに対する対応を促すか否かを判断するための受容基準値を記録した受容基準値記憶部に接続されており、前記管理コンピュータが、前記リスク評価手段で算出したリスク評価値が、前記受容基準値以上のリスクの内容を前記リスク評価画面に表示させて、この表示させたリスクに対する対応を促す対応促進手段を更に含むことを要旨とする。 According to a seventh aspect of the present invention, in the risk management support program according to the sixth aspect of the present invention, the acceptance reference value storage unit in which the management computer records an acceptance reference value for determining whether or not to promote a response to a risk. The risk assessment value calculated by the risk assessment means is displayed on the risk assessment screen by the management computer, and the risk assessment value calculated by the risk assessment means is displayed on the risk assessment screen. The gist of the present invention is to further include an urging response promoting means.
請求項8に記載の発明は、請求項7に記載のリスク管理支援プログラムにおいて、前記管理コンピュータは、前記資産のリスクと、これに対応する管理策に関するデータとを記録した分析表データ記憶部を有し、前記管理コンピュータが、対応を行うリスクに対する管理策を、前記分析表データ記憶部から取得して、前記リスク評価画面に提示する管理策提示手段を含むことを要旨とする。
The invention according to claim 8 is the risk management support program according to
請求項9に記載の発明は、請求項6〜8のいずれか1つに記載のリスク管理支援プログラムにおいて、前記資産の分類と、この分類に対応する前記リスクの内容を関連付けして記録した分類データ記憶部を有し、前記パラメータ設定手段は、前記管理コンピュータが、前記資産の分類に関するデータに基づいて前記分類データ記憶部から前記資産のリスクの内容を取得する分類リスク取得手段を含み、前記リスク評価手段は、前記分類リスク取得手段において取得したリスクの内容に対するリスク評価値を算出することを要旨とする。
The invention according to claim 9 is the risk management support program according to any one of
請求項10に記載の発明は、請求項9に記載のリスク管理支援方法において、前記資産は、情報資産であり、前記管理コンピュータは、分類リスク取得手段における分類を、前記情報資産の資産属性及び取扱属性に基づいて決定する分類決定手段を更に備えたことを要旨とする。 A tenth aspect of the present invention is the risk management support method according to the ninth aspect, wherein the asset is an information asset, and the management computer determines a classification in the classification risk acquisition means, an asset attribute of the information asset, and The gist of the invention is that it further comprises a classification determining means for determining based on the handling attribute.
(作用)
請求項1又は6に記載の発明によれば、管理コンピュータは、資産に関するデータを登録する登録画面からリスク評価画面を表示する。管理コンピュータは、表示したリスク評価画面の表示項目が選択されることによって、資産のリスク評価値を算出するパラメータを設定する。管理コンピュータは、リスク評価画面の表示項目が選択されることによって、パラメータに基づくリスク評価値を算出する。このため、管理コンピュータは、資産に関するデータを確認した後、その資産のパラメータの設定及びリスク評価値の算出を比較的容易に行うことができる。従って、効率よくリスク評価を行うことができる。
(Function)
According to the invention described in
請求項2又は7に記載の発明によれば、管理コンピュータは、リスクに対する対応を促すか否かを判断するための受容基準値を記録した受容基準値記憶部に接続されている。管理コンピュータは、リスク評価値が受容基準値以上のリスクの内容をリスク評価画面に表示させて、この表示させたリスクに対する対応を促す。このため、利用者は、受容基準値を満たさないために、対応を行う必要のあるリスクを容易に把握できる。従って、受容基準値を満たさないリスク評価値のリスクに対する対応を効率的に行うことができる。 According to the second or seventh aspect of the invention, the management computer is connected to the acceptance reference value storage unit that records the acceptance reference value for determining whether or not to promote the response to the risk. The management computer displays the content of the risk whose risk evaluation value is equal to or higher than the acceptance standard value on the risk evaluation screen, and prompts a response to the displayed risk. For this reason, the user can easily grasp the risk that needs to be addressed because the acceptance standard value is not satisfied. Therefore, it is possible to efficiently deal with the risk of the risk evaluation value that does not satisfy the acceptance standard value.
請求項3又は8に記載の発明によれば、管理コンピュータは、資産のリスクと、これに対応する管理策に関するデータとを記録したリスク分析表データ記憶部を有する。管理コンピュータは、対応を行うリスクに対する管理策を、リスク評価画面に提示する。このため、利用者は、リスクに対する管理策を容易に把握することができる。従って、リスクに対する対応を管理策に基づいて効率的に行うことができる。
According to the invention described in
請求項4又は9に記載の発明によれば、資産の分類と、この分類に対応するパラメータとを関連付けして記録した分類データ記憶部を有する。管理コンピュータは、資産の分類に関するデータに基づいて、分類データ記憶部から資産のリスクの内容を取得し、取得したリスクの内容からリスク評価値を算出する。このため、管理コンピュータは、資産の分類によって決まるリスクの内容のすべてに基づいて、漏れなくリスク評価値を算出することができる。従って、資産に対して、より正確なリスク評価を行うことができる。
According to the invention described in
請求項5又は10に記載の発明によれば、資産は情報資産であり、情報資産の資産属性及び取扱属性に基づいて分類を決定する。このため、資産属性及び取扱属性によってリスク評価値のパラメータを決定してリスク評価を算出するので、資産属性及び取扱属性に応じたリスク評価を行うことができる。従って、資産に対して、より的確なリスク評価を行うことができる。
According to the invention described in
本発明によれば、資産に関する情報の登録やリスク評価を効率よく行うことができる。 According to the present invention, it is possible to efficiently register information about assets and perform risk assessment.
以下、本発明を具体化した一実施形態を図1〜図15に基づいて説明する。本実施形態では、社内の管理コンピュータにおいて、例えば情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の認証基準であるJISQ15001などを準拠する場合に適用することを想定する。また、本実施形態では、資産として情報資産についての具体例に基づいて説明を行う。 Hereinafter, an embodiment embodying the present invention will be described with reference to FIGS. In the present embodiment, it is assumed that the present invention is applied to an in-house management computer when, for example, JISQ 15001 that is an authentication standard of an information security management system (ISMS) is compliant. In the present embodiment, description will be made based on a specific example of information assets as assets.
本実施形態では、複数の端末10がネットワークNを介してリスク管理システム20に接続されている。端末10は、社内の社員などが使用するコンピュータ端末である。この端末10は、ディスプレイ、キーボード及びマウスを備える。ディスプレイは、登録画面やリスク評価画面を表示する。キーボード及びマウスは、数値の入力や項目の選択を行う。
In the present embodiment, a plurality of
リスク管理システム20は、管理コンピュータ21を備える。管理コンピュータ21は、図示しないCPU、RAM及びROM等を有し、後述する処理(表示段階、分類リスク取得段階を含むパラメータ設定段階、リスク評価段階、対応促進段階、管理策提示段階及び分類決定段階等を含む処理)を行う。そして、このためのリスク管理支援プログラムを実行することにより、管理コンピュータ21は、表示手段、分類リスク取得手段を含むパラメータ設定手段、リスク評価手段、対応促進手段、管理策提示手段及び分類決定手段等として機能する。
The
また、管理コンピュータ21は、図示しない受容基準値記憶部に接続されている。受容基準値記憶部は、受容基準値としての優先順位度(管理度)の目標値と、リスク評価値の目標値とを記憶している。これら優先順位度の目標値は、リスク管理において、推奨される優先順位度である。また、リスク評価値の目標値とは、リスク管理において満たすべきリスク評価値である。管理コンピュータ21は、後述するように算出するリスク評価値が、このリスク評価値の目標値を満たさない場合には、リスク対応を行うように促す。
The
更に、管理コンピュータ21は、リスク評価を行うための優先順位度算出表のデータを記憶している。この優先順位度算出表のデータは、図10に示すように、後述する脅威と重要度から算出される。
Furthermore, the
更に、管理コンピュータ21は、情報資産データ記憶部22、分類資産マスタデータ記憶部23、リスク分析表データ記憶部24、規格・対応規程データ記憶部25及びリスク管理データ記憶部26に接続されている。
Furthermore, the
情報資産データ記憶部22は、情報資産に関する情報資産データを記憶している。この情報資産データは、端末10の利用者やリスク管理システム20の管理者から情報資産を入力されたときに記録され、情報が変更されたときに更新される。この情報資産データは、情報資産の総称、名称、情報属性、取扱属性及び業務属性に関するデータを含む。
The information asset
総称データ領域には、この情報資産が識別される識別グループの名称に関するデータが記録される。この総称には、例えば、「顧客情報」、「営業関連情報」及び「社内管理情報」などがある。 In the generic data area, data relating to the name of the identification group for identifying the information asset is recorded. Examples of the generic name include “customer information”, “sales related information”, and “in-house management information”.
名称データ領域には、この情報資産が識別される名称に関するデータが記録される。この名称には、例えば、「営業関連情報」に対しては「価格表」や「新製品情報」などが、「社内管理情報」に対しては「社内規程」や「組織表」などがある。 In the name data area, data relating to the name by which this information asset is identified is recorded. This name includes, for example, “price list” and “new product information” for “sales related information”, and “internal regulations” and “organization chart” for “internal management information”. .
情報属性データ領域には、その情報のオーナに関するデータ、目的・用途に関するデータ及び重要度に関するデータをそれぞれ記録する領域が含まれる。オーナに関するデータ領域には、その資産情報の所有者や管理者を特定するためのデータが記録される。目的・用途に関するデータ領域には、この資産情報を利用する目的又は用途に関するデータが記録される。 The information attribute data area includes areas for recording data relating to the owner of the information, data relating to purpose / use, and data relating to importance. Data for specifying the owner or manager of the asset information is recorded in the data area regarding the owner. In the data area relating to the purpose / use, data relating to the purpose or use of the asset information is recorded.
重要度に関するデータ領域には、この資産情報の重要度に関するデータが記録される。この重要度は、本実施形態では、ISMSの規範に適合するように、機密性、完全性及び可用性の3項目を含んで評価される。機密性は、情報が漏れることに関する事項である。完全性は、情報が変わることに関する事項である。可用性は、情報が消えること又は利用できないことに関する事項である。これらの重要度は、本実施形態では、「レベル1」、「レベル2」、「レベル3」の3段階評価で表示される。「レベル1」は、影響や損失が無視・許容できる範囲にあることを意味する。「レベル2」は、影響や損失の回復が必要
であるが、影響が限定されており短時間で回復できることを意味する。「レベル3」は、影響や損失の回復が必要であり、その範囲が広範囲にわたっており回復に長期間を要することを意味する。
Data relating to the importance of the asset information is recorded in the data area relating to the importance. In this embodiment, the importance is evaluated including three items of confidentiality, integrity, and availability so as to conform to the ISMS norm. Confidentiality is a matter related to information leakage. Integrity is a matter of changing information. Availability is a matter of information disappearing or unavailable. In the present embodiment, these levels of importance are displayed in a three-level evaluation of “
取扱属性データ領域には、資産分類、媒体取扱形態、入手先、利用範囲、保管場所及び保管期間に関するデータをそれぞれ記録するデータ領域が含まれる。
資産分類データ領域には、情報の種類に関するデータが記録される。この情報の種類には、例えば、「電子データ」、「文書」又は「ハードウェア」などがある。
The handling attribute data area includes data areas for recording data relating to asset classification, medium handling mode, acquisition destination, usage range, storage location, and storage period.
Data relating to the type of information is recorded in the asset classification data area. Examples of the type of information include “electronic data”, “document”, and “hardware”.
媒体取扱形態データ領域には、保管媒体の種類や利用プロセスの種類に関するデータが記録される。この保管媒体の種類には、「単紙」や「サーバシステム」などがある。
入手先データ領域には、その情報を入手した入手先に関するデータが記録される。
Data relating to the type of storage medium and the type of use process is recorded in the medium handling form data area. Types of storage media include “single paper” and “server system”.
In the acquisition destination data area, data relating to the acquisition source from which the information is acquired is recorded.
利用範囲データ領域には、その情報の利用範囲データ領域に関するデータが記録される。この利用範囲には、具体的には、「部長以上」や「制限なし」などがある。
保管場所データ領域には、その情報の保管場所に関するデータが記録される。
In the use range data area, data related to the use range data area of the information is recorded. Specifically, the range of use includes “over manager” and “no limit”.
In the storage location data area, data relating to the storage location of the information is recorded.
保管期間データ領域には、その情報の保管期間に関するデータが記録される。
業務属性データ領域には、その情報を主に利用する業務や組織に関するデータが記録される。
Data relating to the storage period of the information is recorded in the storage period data area.
In the business attribute data area, data relating to a business or organization that mainly uses the information is recorded.
一方、分類資産マスタデータ記憶部23には、資産を分類するための分類用データが記録される。この分類用データは、リスク評価を行うまでに記録される。また、分類用データには、分類項目名、資産分類名及び資産分類コードに関するデータが含まれる。
On the other hand, the classification asset master
分類項目名データ領域には、資産の分類項目に関するデータが記録される。本実施形態では、資産分類によっては、大分類、小分類及び詳細分類の分類項目を有するものがある。なお、本実施形態では、詳細分類まで分類されていないことがあり、大分類の分類項目に関するデータのみを有する分類もある。 In the category item name data area, data relating to the category item of the asset is recorded. In this embodiment, some asset classifications have classification items of major classification, minor classification, and detailed classification. In the present embodiment, even the detailed classification may not be classified, and there is also a classification having only data relating to the classification item of the large classification.
資産分類名データ領域には、資産分類の名称に関するデータが記録される。この資産分類の名称には、具体的には、「単紙」や「サーバシステム」などがある。また、この資産分類の名称は、上述した保管媒体の種類と対応付け可能となるように分類される。 Data relating to the name of the asset classification is recorded in the asset classification name data area. Specific examples of the asset classification name include “single paper” and “server system”. The name of the asset classification is classified so that it can be associated with the type of storage medium described above.
資産分類コードデータ領域には、資産分類名を特定するための識別コードが記録される。
また、リスク分析表データ記憶部24には、リスク分析表データ240が記録される。リスク分析表データ240は、分類資産マスタデータ記憶部23に記録された後、その記録された分類に対する項目としてリスク分析表データ記憶部24に記録される。このリスク分析表データ240は、図2に示すように、資産分類及び媒体取扱形態毎の、脆弱性の識別、脅威の識別、脅威の発生可能性と脅かす側面及び管理策に関するデータを含む。
In the asset classification code data area, an identification code for specifying the asset classification name is recorded.
The risk
資産分類データ領域には、資産の分類項目に関するデータが記録される。この分類には、例えば、「情報資産」などがある。
媒体取扱形態データ領域には、情報資産を保存などして取り扱っている形態に関するデータが記録される。この媒体取扱形態には、例えば、「サーバシステム」などがある。
In the asset classification data area, data related to asset classification items is recorded. This classification includes, for example, “information asset”.
In the medium handling form data area, data relating to the form in which information assets are handled is stored. Examples of this medium handling mode include “server system”.
脆弱性の識別データ領域には、その情報資産に生じる可能性のある脆弱性の項目内容に関するデータが記録される。
脅威の識別データ領域には、その脆弱性に対して生じる可能性のある脅威の識別が記録
されている。
In the vulnerability identification data area, data relating to the item contents of the vulnerability that may occur in the information asset is recorded.
In the threat identification data area, identification of threats that may occur for the vulnerability is recorded.
脅威の発生可能性と脅かす側面のデータ領域には、機密性、完全性、可用性に関するデータが記録される。本実施形態では、これら機密性、完全性、可用性について、3段階に設定がされている。具体的には、「まれに発生する」レベル1の「低」と、「たまに発生する」レベル2の「中」及び「頻繁に発生する」レベル3の「高」である。
管理策データ領域には、その脆弱性に対して行われる管理の対策に関する規格番号に関するデータが記録される。
Data on confidentiality, integrity, and availability are recorded in the data area of the threat potential and threatening aspects. In the present embodiment, these confidentiality, integrity, and availability are set in three stages. Specifically, it is “low” of
In the management policy data area, data relating to the standard number relating to the management measures taken for the vulnerability is recorded.
一方、規格・対応規程データ記憶部25には、各種の規格データや対応規程に関するデータが記録される。このデータには、具体的には、ベストプラクティス規格、ISMSマニュアル及びこれらに関連する文書データなどがある。
On the other hand, in the standard / corresponding rule
また、リスク管理データ記憶部26は、リスク管理を行う情報資産についてのデータが記録される。このリスク管理データ記憶部26は、リスク評価値を算出した後に、情報資産データ記憶部22から管理対象として抽出した情報資産を記録する。
Further, the risk management
次に、リスク管理システム20を用いた情報資産評価処理について、図3及び図4に基づいて説明する。
リスク管理システム20の管理コンピュータ21は、まず、登録処理を行う(ステップS1−1)。具体的には、管理コンピュータ21は、情報資産についてのデータの入力画面データを端末10に送信する。端末10は、ディスプレイに入力画面を表示させて、利用者に対してデータの入力を促す。
Next, information asset evaluation processing using the
The
ここで、利用者は、端末10を用いて情報資産についてのデータを入力する。このとき、入力されるデータには、その情報資産の総称、名称、目的・用途、入手先、利用者範囲、機密性、完全性及び可用性についての各重要度、保管媒体の種類、媒体の取扱形態、保管場所、利用者の制限、管理担当、保管期間に関するデータが含まれる。
Here, the user inputs data about information assets using the
そして、端末10は、利用者によるデータの入力が完了すると、この入力されたデータをリスク管理システム20に送信する。リスク管理システム20の管理コンピュータ21は、情報資産についてのデータを情報資産データ記憶部22に登録する。これにより登録処理(ステップS1−1)が完了する。
Then, when the data input by the user is completed, the terminal 10 transmits the input data to the
その後、端末10を介して利用者により所定の情報資産が指定されると、リスク管理システム20の管理コンピュータ21は、指定された情報資産の内容に関するデータを端末10に送信する。端末10は、受信したデータに基づいて、図5に示すように内容表示画面500を表示する。ここで、図5には、総称が「社内管理に関する情報」であって、名称が「社内規程」である情報資産の内容が表示されている。
Thereafter, when a predetermined information asset is designated by the user via the terminal 10, the
なお、図5に示された内容表示画面500には、その情報資産の目的・用途として「ISMS構築関連資料」が表示される。また、内容表示画面500には、その情報資産の入手先としての「社内各部門」、利用範囲としての「制限なし」が含まれている。更に、その情報資産の重要度である秘密性、完全性及び可用性の値が表示される。
In the
また、内容表示画面500には、保管媒体の種類としての「電子データ」、媒体の取扱形態としての「ローカルディスク」及び保管場所としての「パソコン」が含まれる。更に、内容表示画面500には、管理担当者として、資産情報を登録した登録者である「自分」が含まれる。
The
その後、情報資産台帳の内容表示画面500のタイトル「情報資産登録内容」の上に表示されている「評価」の項目が指定されると、図6に示す情報資産の評価画面600が表示される。
Thereafter, when the item “evaluation” displayed on the title “information asset registration content” of the information asset ledger
この評価画面600には、登録された資産分類や資産の所有者などの情報が表示されている。また、この評価画面600には、表示項目として、情報資産の重要度に関する項目610、脅威評価に関する項目620、脆弱性評価に関する項目630、リスク評価に関する項目640、リスク対応に関する項目650及び管理策に関する項目660が含まれる。また、評価画面600には、重要度算定ボタン611、分類取得ボタン621、脅威評価ボタン622、脆弱性評価ボタン631、リスク対応設定ボタン651及び管理策取得ボタン661が含まれる。
The
次に、リスク管理システム20の管理コンピュータ21は、重要度の設定を行う(ステップS1−2)。ここで、資産情報の登録だけを行った初期状態の場合、図6に示す評価画面600の重要度の項目には、すべて「0」が表示される。そこで、重要度算定ボタン611が選択されると、管理コンピュータ21は、情報資産データ記憶部22に記録した情報資産データの重要度データを取得する。そして、管理コンピュータ21は、総合重要度評価の値を算定する。この総合重要度評価の値は、機密性、完全性及び可用性を含む重要度のうちの最大の値である。
Next, the
そして、管理コンピュータ21は、評価画面600の重要度の項目610に、重要度としての機密性、完全性及び可用性の値と総合重要度評価の値とを表示する。例えば、図7に示すように、機密性が「2」、完全性が「1」及び可用性が「1」の場合には、総合重要度評価は、最大値である機密性の「2」となる。
The
次に、リスク管理システム20の管理コンピュータ21は、資産分類コードの付与を行う(ステップS1−3)。具体的には、利用者は、評価画面600に表示された分類取得ボタン621を選択する。すると、管理コンピュータ21は、分類資産マスタデータ記憶部23から分類用データを取得し、このデータに基づいて図8の分類一覧画面700を表示する。
Next, the
この分類一覧画面700には、階層的に表示された分類項目、資産分類名及びその資産分類コードが表示される。利用者は、分類項目において、大分類から選択して、付与する資産分類を表示させる。
The
ここで、利用者が、資産分類名の「ローカルディスクのデータ」を選択した後、分類一覧画面700のOKボタン701を選択する場合を想定する。そして、管理コンピュータ21は、資産分類名の「ローカルディスクのデータ」に対応する資産分類コードを情報資産データ記憶部22に記録する。そして、管理コンピュータ21は、図9に示すように、選択される資産分類コードの資産分類名とその分類名とを脅威評価の項目630に表示する。
Here, it is assumed that the user selects the
次に、管理コンピュータ21は、脅威の設定を行う(ステップS1−4)。これは、図6に示す評価画面600に含まれる脅威評価ボタン622が選択されることにより行われる。評価画面600の脅威評価ボタン622が選択された場合、管理コンピュータ21は、付与した資産分類コードに基づいて、その資産の脅威に関するデータを、リスク分析表データ240から取得する。
Next, the
例えば、利用者が「ローカルディスクのデータ」を選択した場合、これに対応する「電子データ」の「サーバシステム」に関するデータを、管理コンピュータ21は、リスク分
析表データ記憶部24から取得する。すなわち、図2に示すように、管理コンピュータ21は、「電子データ」の「サーバシステム」に対応する「脆弱性の識別」、「脅威の識別」及び「脅威の発生可能性と脅かす側面」に関するデータをリスク分析表データ記憶部24から取得する。更に、管理コンピュータ21は、「脅威の発生可能性」の値のうち、脅威の発生が最も高い値を、脅威評価値として算定する。例えば、図2の「サーバシステム」の場合には、「脅威の発生可能性」が最も高い「中」を脅威評価の値として算定する。そして、管理コンピュータ21は、取得した「脅威の発生可能性」のデータ及び脅威評価の値を、評価画面600の脅威評価の項目630に表示する。
For example, when the user selects “data on local disk”, the
次に、管理コンピュータ21は、優先順位度を決定する。具体的には、管理コンピュータ21は、取得した機密性、完全性及び可用性に関するデータと、上記ステップS1−2で設定された重要度のデータとに基づいて、図10に示す優先順位度算出表を用いて優先順位度を算出する。具体的には、重要度が「中」の「レベル2」であり、脅威が「中」である場合には、図10で示すように、優先順位度は「6」になる。
Next, the
次に、管理コンピュータ21は、脆弱性(管理度)を設定する(ステップS1−5)。これは、図6に示す評価画面600に含まれる脆弱性評価ボタン631が選択されることにより行われる。評価画面600の脆弱性評価ボタン631が選択されると、管理コンピュータ21は、脅威の項目620で設定した資産分類コードを取得する。そして、管理コンピュータ21は、リスク分析表データ記憶部24から、資産分類コードに対応する「脆弱性の識別」の項目を抽出する。例えば、「電子データ」の「サーバシステム」という資産分類が選択された場合には、管理コンピュータ21は、図2で示すように、この資産分類に対応する「不適切な認証」や「不適切なアクセス権」などの項目を取得する。
Next, the
更に、管理コンピュータ21は、抽出した「脆弱性の識別」に基づいて画面データを作成する。ここで、管理コンピュータ21は、「脆弱性の識別」に対する管理度を設定するために、抽出した「脆弱性の識別」の個数に対応する画面データを作成する。例えば、「サーバシステム」の「脆弱性の識別」の項目が21件あった場合には、この21件の項目に対応する画面データを作成する。そして、管理コンピュータ21は、画面データに基づいて、1つの「脆弱性の識別」に対する管理度を設定するための管理度設定画面800を表示する。
Furthermore, the
管理度設定画面800には、図11に示すように、資産の総称、資産分類、重要度の値、該当する脅威の項目、脅威の内容、脆弱性の内容、管理目的の内容、管理策例の内容、ISMS規格の内容、管理度を設定するべき件数(21件)などが含まれる。また、管理度設定画面800には、管理度のレベルを表示するためのプルダウンメニュー810、更新ボタン、件数プルダウンメニュー820及びOKボタン830が含まれる。なお、図11の管理度設定画面800の脆弱性の内容には、図2に示すような「脆弱性の識別」の項目がそれぞれ表示される。また、管理度設定画面800の脅威の内容には、その「脆弱性の識別」の項目に対応する「脅威の識別」の内容が表示される。
In the management
ここで、図11に示すように管理度設定画面800のプルダウンメニュー810が利用者によりを選択されると、管理コンピュータ21は、レベル1〜5のいずれか又は評価対象外を選択するように表示する。なお、レベル1とは、社内標準などがあり、かつ常時モニタが実施されているなど「とても強い」レベルを意味する。レベル2とは、社内標準などがあり、現状で十分であるなど、「強い」レベルを意味する。レベル3は、注意すれば運用できるなど、「普通」レベルを意味する。レベル4は、社内標準はあるが周知されていないなど、「弱い」レベルを意味する。レベル5は、社内標準がなく、対策を講じる必要があるなど、「とても弱い」レベルを意味する。
Here, as shown in FIG. 11, when the user selects the pull-
ここで、脅威の内容からそれが発生する可能性についての管理度を判断した利用者により、管理度の値が決定されて更新ボタンが選択される。これにより、管理コンピュータ21は、管理度設定画面800に表示された「脆弱性の項目」に対する管理度を、情報資産データ記憶部22に記憶する。
Here, the value of the management level is determined and the update button is selected by the user who has determined the management level regarding the possibility of occurrence of the threat from the content of the threat. Thereby, the
次に、管理度設定画面800の件数プルダウンメニュー820が選択されると、管理コンピュータ21は、選択された件数の「脆弱性の識別」の項目の管理度を設定するための管理度設定画面800を表示させる。そして、管理コンピュータ21は、その件についての管理度の設定を行う。このようにして、管理コンピュータ21は、管理度設定画面800に表示するすべての件(ここでは21件)について管理度を設定する。
Next, when the number of items pull-
そして、すべての件についての管理度を設定すると、管理コンピュータ21は、リスク評価値を算出する(ステップS1−6)。具体的には、管理コンピュータ21は、設定された管理度をリスク換算値に変換する。ここで、管理度が「とても強い」、「強い」、「普通」、「弱い」、「とても弱い」のレベルは、それぞれ「0.00」、「0.25」、「0.50」、「0.70」、「1.00」に変換される。そして、管理コンピュータ21は、この管理度のリスク換算値と優先順位度とを積算することにより、リスク評価値を算出する。なお、優先順位度は脅威と重要度とから決定されるので、管理コンピュータ21は、図12の「リスク算定マトリックス」に示すように、リスク評価値を、重要度、脅威及び管理度から算出する。すなわち、本実施形態では、重要度、脅威及び管理度がリスク評価値を算出するためのパラメータに該当する。
And if the management degree about all the cases is set, the
そして、管理コンピュータ21は、リスク評価の項目640の「脆弱性評価」、「リスク評価」、「脆弱性、受容レベル」及び「リスク、受容レベル」の各値と、評価者の氏名などを表示する。
Then, the
ここで、管理コンピュータ21は、リスク評価の項目の脆弱性評価として、管理度として評価した全件(ここでは21件)のうち、最も弱いレベルの値を抽出する。例えば、図13においては、「とても弱い(レベル5)」がなく、「弱い(レベル4)」が最も弱いレベルとして設定されている。
Here, the
また、管理コンピュータ21は、算出した「リスク評価値」を評価画面600に表示する。更に、管理コンピュータ21は、優先順位度(管理度)の目標値を「脆弱性、受容レベル」の値として、またリスク評価値の目標値を「リスク、受容レベル」の値として、それぞれ表示する。
Further, the
次に、管理コンピュータ21は、管理度が設定されたそれぞれの項目(ここでは21件分の項目)のリスク評価値がその目標値よりも低いか否かを判断する(ステップS2−1)。
Next, the
ここで、リスク評価値が目標値よりも低い場合(ステップS2−1において「YES」の場合)には、管理コンピュータ21は、その取扱形態に対して一般的な管理対応策を取得して表示する(ステップS2−2)。例えば、サーバシステムに対してのセキュリティ対策として一般に知られているウィルス対策などを表示する。
When the risk evaluation value is lower than the target value (“YES” in step S2-1), the
また、リスク評価値が目標値よりも高い場合(ステップS2−1において「NO」の場合)には、管理コンピュータ21は、リスク対応を設定するべき項目を抽出する(ステップS2−3)。これは、利用者が評価画面600のリスク対応設定ボタン651を選択することにより行われる。管理コンピュータ21は、リスク対応設定ボタン651が選択されると、脆弱性の内容の件のうち、上記ステップS1−5で管理度を「評価対象外」とし
た内容の件を除いた件を抽出する。例えば、21件について管理度の設定を行ったときに、「評価対象外」とした件が12件あった場合には、残りの9件を抽出する。そして、管理コンピュータ21は、図14に示すように、抽出した件についてのリスク対応画面850を表示する。具体的には、管理コンピュータ21は、抽出した9件に関するリスク対応画面850を表示する。
When the risk evaluation value is higher than the target value (in the case of “NO” in step S2-1), the
このリスク対応画面850には、資産の総称、資産分類、重要度、脅威の評価、脅威内容、脆弱性内容、優先順位度、管理度、リスク評価値及び目標値に関するデータを含む。また、リスク対応画面850には、リスク対応選択プルダウンメニュー及びOKボタンが含まれる。リスク対応選択プルダウンメニューには「受容」、「低減」、「検討」、「回避」及び「移転」の項目が含まれる。
The
ここで、「受容」は、評価者がリスクを容認することである。「低減」はリスクを低減させることである。「検討」は保留をすることである。「回避」は事業を中止することである。「移転」は業務を他社に代行させることである。 Here, “acceptance” means that the evaluator accepts the risk. “Reduce” means to reduce the risk. “Review” is to hold. “Avoidance” means to suspend the business. “Relocation” means to transfer the business to another company.
ここでは、「低減」に、ほとんどのリスクが対応すると考えられるので、利用者は、各リスク対応画面850において、リスク対応として「低減」を選択する。
そして、すべての件(ここでは9件)について、リスク対応の項目が選択されると、利用者によりOKボタンが選択される。これにより、管理コンピュータ21は、リスク対応を記録する(ステップS2−4)。また、管理コンピュータ21は、リスク対応を行う項目(脆弱性の内容)を残留リスクとしてリスク管理データ記憶部26に記録する。
Here, since most risks are considered to correspond to “reduction”, the user selects “reduction” as a risk response on each
Then, for all cases (9 cases in this case), when the risk handling items are selected, the user selects the OK button. Thereby, the
次に、管理コンピュータ21は、リスク対応を行う項目に対する管理策をリスク分析表データ記憶部24から取得する(ステップS2−4)。そして、管理コンピュータ21は、図15に示すように、取得した管理策に関するデータを表示する。これは、利用者が、管理策取得ボタン661を選択することにより行われる。例えば、図2に示すように「メンテナンスの不備」に対して、リスク対応の「低減」を行う場合には、これに対応する管理策「7−2−4」を取得する。ここで、管理策「7−2−4」は、ISMS規格に対応した規格番号を意味する。このようにして、管理コンピュータは、リスク対応の「低減」を行うとしたリスクの内容に対応する管理策をすべて取得し、これら管理策に関する情報を評価画面600の管理策の項目660に表示する。
以上により情報資産のリスク評価が完了する。
Next, the
This completes the risk assessment of information assets.
本実施形態によれば、以下のような効果を得ることができる。
・本実施形態では、管理コンピュータ21は、登録処理(ステップS1−1)を行った情報資産の登録内容を表示する内容表示画面500に関連付けして評価画面600を表示する。この評価画面600の重要度算定ボタン611が選択されると、管理コンピュータ21は、情報資産に関する重要度を設定し(ステップS1−2)、分類取得ボタン621が選択されると資産分類コードを付与する(ステップS1−3)。また、管理コンピュータ21は、評価画面600の脆弱性評価ボタン631から管理度を設定する管理度設定画面800を表示し、管理度を設定する(ステップS1−5)と、リスク評価値を算出する(ステップS1−6)。従って、管理コンピュータは、評価画面600において、リスク評価値を算出する重要度、脅威及び管理度のパラメータの設定を行い、リスク評価を行うことができる。従って、リスク評価を効率よく行うことができる。
According to this embodiment, the following effects can be obtained.
In this embodiment, the
・本実施形態では、リスク評価値の算出及びこれに用いる重要度などの設定などを行う評価画面600は、情報資産台帳として、その情報資産の内容を登録した内容表示画面500とともに表示可能となっている。従って、内容表示画面500において、情報資産の内容を登録して、すぐに評価画面600を表示させて、重要度などの設定、リスク評価値
の算出、リスク対応及び管理策の取得を行うことができる。
In this embodiment, the
・本実施形態では、管理コンピュータ21は、内容表示画面500においてパラメータの1つである重要度が入力された後、評価画面600の重要度算定ボタン611が選択されると、重要度の設定及び変更を行う。このため、評価画面600において、重要度の設定及び変更を行うことができるので、効率的にリスク評価を行うことができる。
In the present embodiment, the
・本実施形態では、管理コンピュータ21は、リスク評価値を算出するパラメータの1つである脅威は、情報資産の保管媒体の種類に基づいて、リスク分析表データ記憶部24から取得する。このため、情報資産の種類に応じた脅威を、リスク分析表データ記憶部24から抽出するので、情報資産の種類から発生する可能性のあるすべての脅威を考慮してリスク評価をすることができる。従って、リスク評価をより的確に行うことができる。
In the present embodiment, the
・本実施形態では、管理コンピュータ21は、情報資産の種類を、分類一覧画面700に表示する。このため、管理コンピュータ21は、分類一覧画面700から情報資産の種類が利用者によって選択されることにより、情報資産の種類に応じた脅威を迅速に特定することができる。
In the present embodiment, the
・本実施形態では、管理コンピュータ21は、評価画面600の脆弱性評価ボタン631が選択されることにより、管理度設定画面800を表示する。そして、管理コンピュータ21は、管理度設定画面800において脅威の各項目についての管理度を設定する。このため、管理コンピュータ21は、評価画面600から容易に管理度を設定することができるので、効率的にリスク評価を行うことができる。
In the present embodiment, the
・本実施形態では、管理コンピュータ21は、リスク評価値が目標値よりも高い場合(ステップS2−1において「YES」の場合)に、評価画面600のリスク対応設定ボタン651が選択されると、リスク対応の項目を抽出し(ステップS2−3)、リスク対応画面850を表示する。そして、利用者により表示されたリスク対応画面850を介してリスク対応が入力されると、管理コンピュータ21は、入力されたリスク対応を記録する(ステップS2−4)。従って、利用者は、パラメータを設定した評価画面600から容易にリスク対応をも入力することができるので、リスク対応の記録を効率よく行うことができる。
In the present embodiment, when the risk evaluation value is higher than the target value (when “YES” in step S2-1), the
・本実施形態では、管理コンピュータ21は、リスク対応画面850のプルダウンメニューによってリスク対応を選択入力可能とする。このため、リスク対応を容易に設定することができる。
In the present embodiment, the
・本実施形態では、管理コンピュータ21は、リスク対応を記録した(ステップS2−4)後に、評価画面600の管理策取得ボタン661が選択されると、リスク対応の項目に対応する管理策に関するデータを取得し(ステップS2−5)、評価画面600に表示する。従って、情報資産のリスク評価値を算出するパラメータの設定、リスク評価値の算出、リスク対応及び管理策の取得を、評価画面600において行うことができる。このため、効率的にリスク管理を行うことができる。
In the present embodiment, when the
なお、上記実施形態は以下のように変更してもよい。
○上記実施形態においては、評価画面600には、重要度算定ボタン611、分類取得ボタン621、脅威評価ボタン622、脆弱性評価ボタン631、リスク対応設定ボタン651及び管理策取得ボタン661が含まれている。これに代えて、リスク対応に関するリスク対応設定ボタン651及び管理策に関する管理策取得ボタン661を、評価画面600とは異なるが、内容表示画面500及び評価画面600とともに表示できる画面中の
ボタンとして表示してもよい。この場合には、リスク対応設定ボタン651及び管理策取得ボタン661を含む画面を、内容表示画面500及び評価画面600と同様に、表示するようにしてもよい。
In addition, you may change the said embodiment as follows.
In the above embodiment, the
○上記実施形態においては、管理コンピュータ21は、重要度、脅威及び管理度のパラメータに基づいてリスク評価値を算出した。リスク評価値は、これらに限らず、例えば、お客様との契約、法令・規則などからの重要度などを含んで算出してもよいし、他のパラメータを用いて算出してもよい。
In the above embodiment, the
○上記実施形態においては、管理コンピュータ21は、情報資産についてリスク評価を行ってリスク管理をした。リスク管理を行う資産はこれに限られず、例えば、施設に関する資産などであってもよい。
In the above embodiment, the
○上記実施形態においては、管理コンピュータ21は、分類取得ボタン621が選択されることにより分類一覧画面700を表示させた。そして、管理コンピュータ21は、分類一覧画面700から選択された情報資産の分類に基づいて、リスク評価値を算出するパラメータである脅威の内容を抽出した。これに代えて、管理コンピュータ21は、リスク評価値を算出するパラメータである脅威の内容についてのデータを、利用者から直接入力を受けることにより取得してもよい。この場合、リスク管理をする個々の企業に独自の脅威がある場合には、これを考慮してリスク評価を行うことができる。
In the above embodiment, the
21…管理コンピュータ、24…分析表データ記憶部及び分類データ記憶部としてのリスク分析表データ記憶部、600…リスク評価画面としての評価画面。 21 ... management computer, 24 ... risk analysis table data storage unit as analysis table data storage unit and classification data storage unit, 600 ... evaluation screen as risk evaluation screen.
Claims (10)
前記管理コンピュータは、
前記資産に関するデータを登録する登録画面からリスク評価画面を表示する表示段階と、
前記リスク評価画面の表示項目が選択されることによって、リスク評価値を算出するためのパラメータを設定するパラメータ設定段階と、
前記リスク評価画面の表示項目の選択によって、前記パラメータに基づくリスク評価値を算出するリスク評価段階と
を含むことを特徴とするリスク管理支援方法。 A method of supporting risk management using a management computer that performs asset risk assessment,
The management computer is
A display stage for displaying a risk assessment screen from a registration screen for registering data relating to the asset;
A parameter setting step for setting a parameter for calculating a risk evaluation value by selecting a display item of the risk evaluation screen;
A risk management support method comprising: a risk evaluation step of calculating a risk evaluation value based on the parameter by selecting a display item on the risk evaluation screen.
前記管理コンピュータが、前記リスク評価段階で算出したリスク評価値が、前記受容基準値以上のリスクの内容を前記リスク評価画面に表示させて、この表示させたリスクに対する対応を促す対応促進段階を更に含むことを特徴とする請求項1に記載のリスク管理支援方法。 The management computer is connected to an acceptance standard value storage unit that records an acceptance standard value for determining whether or not to promote a response to a risk,
The management computer displays a risk content whose risk evaluation value calculated in the risk evaluation step is equal to or higher than the acceptance standard value on the risk evaluation screen, and further includes a response promotion step that prompts a response to the displayed risk. The risk management support method according to claim 1, further comprising:
前記管理コンピュータが、対応を行うリスクに対する管理策を、前記分析表データ記憶部から取得して、前記リスク評価画面に提示する管理策提示段階を含むことを特徴とする請求項2に記載のリスク管理支援方法。 The management computer has an analysis table data storage unit that records the risk of the asset and data related to the management policy corresponding thereto,
The risk according to claim 2, further comprising: a management measure presenting step in which the management computer acquires a management measure for the risk to be dealt with from the analysis table data storage unit and presents it on the risk evaluation screen. Management support method.
前記パラメータ設定段階は、前記管理コンピュータが、前記資産の分類に関するデータに基づいて前記分類データ記憶部から前記資産のリスクの内容を取得する分類リスク取得段階を含み、
前記リスク評価段階は、前記分類リスク取得段階において取得したリスクの内容に対するリスク評価値を算出することを特徴とする請求項1〜3のいずれか1つに記載のリスク管理支援方法。 A classification data storage unit that records the classification of the asset and the content of the risk corresponding to the classification;
The parameter setting step includes a classification risk acquisition step in which the management computer acquires a risk content of the asset from the classification data storage unit based on data related to the asset classification,
The risk management support method according to any one of claims 1 to 3, wherein the risk evaluation stage calculates a risk evaluation value for the content of the risk acquired in the classification risk acquisition stage.
前記管理コンピュータは、分類リスク取得段階における分類を、前記情報資産の資産属性及び取扱属性に基づいて決定する分類決定段階を更に備えたことを特徴とする請求項4に記載のリスク管理支援方法。 The asset is an information asset;
The risk management support method according to claim 4, wherein the management computer further includes a classification determination step of determining a classification in the classification risk acquisition step based on an asset attribute and a handling attribute of the information asset.
前記管理コンピュータを、
前記資産に関するデータを登録する登録画面からリスク評価画面を表示する表示手段、
前記リスク評価画面の表示項目が選択されることによって、リスク評価値を算出するためのパラメータを設定するパラメータ設定手段、及び
前記リスク評価画面の表示項目の選択によって、前記パラメータに基づくリスク評価値を算出するリスク評価手段
を含むことを特徴とするリスク管理支援プログラム。 A program that supports risk management using a management computer that performs asset risk assessment,
The management computer,
Display means for displaying a risk assessment screen from a registration screen for registering data relating to the asset;
By selecting a display item on the risk assessment screen, parameter setting means for setting a parameter for calculating a risk assessment value, and by selecting a display item on the risk assessment screen, a risk assessment value based on the parameter is obtained. A risk management support program comprising a risk evaluation means for calculating.
前記管理コンピュータが、前記リスク評価手段で算出したリスク評価値が、前記受容基準値以上のリスクの内容を前記リスク評価画面に表示させて、この表示させたリスクに対する対応を促す対応促進手段を更に含むことを特徴とする請求項6に記載のリスク管理支援プログラム。 The management computer is connected to an acceptance standard value storage unit that records an acceptance standard value for determining whether or not to promote a response to a risk,
Response management means for causing the management computer to display on the risk evaluation screen the contents of the risk whose risk evaluation value calculated by the risk evaluation means is equal to or higher than the acceptance standard value, and to promote the response to the displayed risk. The risk management support program according to claim 6, further comprising:
前記管理コンピュータが、対応を行うリスクに対する管理策を、前記分析表データ記憶部から取得して、前記リスク評価画面に提示する管理策提示手段を含むことを特徴とする請求項7に記載のリスク管理支援プログラム。 The management computer has an analysis table data storage unit that records the risk of the asset and data related to the management policy corresponding thereto,
8. The risk according to claim 7, further comprising: a management measure presenting unit that obtains a management measure for the risk to be dealt with from the analysis table data storage unit and presents it on the risk evaluation screen. Management support program.
前記パラメータ設定手段は、前記管理コンピュータが、前記資産の分類に関するデータに基づいて前記分類データ記憶部から前記資産のリスクの内容を取得する分類リスク取得手段を含み、
前記リスク評価手段は、前記分類リスク取得手段において取得したリスクの内容に対するリスク評価値を算出することを特徴とする請求項6〜8のいずれか1つに記載のリスク管理支援プログラム。 A classification data storage unit that records the classification of the asset and the content of the risk corresponding to the classification;
The parameter setting means includes a classification risk acquisition means for the management computer to acquire a risk content of the asset from the classification data storage unit based on data relating to the asset classification,
The risk management support program according to any one of claims 6 to 8, wherein the risk evaluation unit calculates a risk evaluation value for the content of the risk acquired by the classification risk acquisition unit.
前記管理コンピュータは、分類リスク取得手段における分類を、前記情報資産の資産属性及び取扱属性に基づいて決定する分類決定手段を更に備えたことを特徴とする請求項9に記載のリスク管理支援方法。 The asset is an information asset;
The risk management support method according to claim 9, wherein the management computer further includes a classification determination unit that determines a classification in the classification risk acquisition unit based on an asset attribute and a handling attribute of the information asset.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004022036A JP2005216003A (en) | 2004-01-29 | 2004-01-29 | Risk management support method and risk management support program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004022036A JP2005216003A (en) | 2004-01-29 | 2004-01-29 | Risk management support method and risk management support program |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2005216003A true JP2005216003A (en) | 2005-08-11 |
Family
ID=34905496
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004022036A Pending JP2005216003A (en) | 2004-01-29 | 2004-01-29 | Risk management support method and risk management support program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2005216003A (en) |
Cited By (16)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008015953A (en) * | 2006-07-10 | 2008-01-24 | Hitachi Software Eng Co Ltd | Automatic sorting system for information asset |
JP2008129648A (en) * | 2006-11-16 | 2008-06-05 | Nec Corp | Security risk management system, method and program |
WO2008103764A1 (en) * | 2007-02-20 | 2008-08-28 | Microsoft Corporation | Risk-based vulnerability assessment, remediation and network access protection |
JP2009104344A (en) * | 2007-10-22 | 2009-05-14 | Ricoh Co Ltd | Information input system |
JP2009104478A (en) * | 2007-10-24 | 2009-05-14 | Ricoh Co Ltd | Information asset risk degree evaluation system |
JP2009230278A (en) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | Threat analysis support apparatus and threat analysis support processing program |
JP2009230279A (en) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | Information processor and information processing program |
JP2010198194A (en) * | 2009-02-24 | 2010-09-09 | Nomura Research Institute Ltd | Security management support system |
JP2010231600A (en) * | 2009-03-27 | 2010-10-14 | Toshiba Corp | Business quality management device and business quality management processing program |
JP2012511768A (en) * | 2008-12-12 | 2012-05-24 | パーク・ウォンイル | Movable property management system using automatic recognition data collection technology and its operation method |
JP2012133584A (en) * | 2010-12-21 | 2012-07-12 | Canon It Solutions Inc | Information processor, information asset management system, information asset management method and program |
CN104050519A (en) * | 2014-07-08 | 2014-09-17 | 国家电网公司 | Safety risk prediction method and system for grid scheduling staff |
JP2016218964A (en) * | 2015-05-26 | 2016-12-22 | 日本電信電話株式会社 | Threat analysis support method, threat analysis support device, and threat analysis support program |
JP2017173940A (en) * | 2016-03-22 | 2017-09-28 | 株式会社日立製作所 | Security coping server and system |
JP6279117B1 (en) * | 2017-03-01 | 2018-02-14 | ミツエ 福永 | Conversion system between work evaluation information and risk management information |
WO2019142738A1 (en) * | 2018-01-16 | 2019-07-25 | 株式会社福永事務所 | System for conversion from contribution degree evaluation information to risk management information or from risk management information to contribution degree evaluation information |
-
2004
- 2004-01-29 JP JP2004022036A patent/JP2005216003A/en active Pending
Cited By (19)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2008015953A (en) * | 2006-07-10 | 2008-01-24 | Hitachi Software Eng Co Ltd | Automatic sorting system for information asset |
JP2008129648A (en) * | 2006-11-16 | 2008-06-05 | Nec Corp | Security risk management system, method and program |
WO2008103764A1 (en) * | 2007-02-20 | 2008-08-28 | Microsoft Corporation | Risk-based vulnerability assessment, remediation and network access protection |
JP2009104344A (en) * | 2007-10-22 | 2009-05-14 | Ricoh Co Ltd | Information input system |
JP2009104478A (en) * | 2007-10-24 | 2009-05-14 | Ricoh Co Ltd | Information asset risk degree evaluation system |
JP2009230278A (en) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | Threat analysis support apparatus and threat analysis support processing program |
JP2009230279A (en) * | 2008-03-19 | 2009-10-08 | Toshiba Corp | Information processor and information processing program |
JP4620138B2 (en) * | 2008-03-19 | 2011-01-26 | 株式会社東芝 | Threat analysis support device and threat analysis support processing program |
JP2012511768A (en) * | 2008-12-12 | 2012-05-24 | パーク・ウォンイル | Movable property management system using automatic recognition data collection technology and its operation method |
JP2010198194A (en) * | 2009-02-24 | 2010-09-09 | Nomura Research Institute Ltd | Security management support system |
JP2010231600A (en) * | 2009-03-27 | 2010-10-14 | Toshiba Corp | Business quality management device and business quality management processing program |
JP2012133584A (en) * | 2010-12-21 | 2012-07-12 | Canon It Solutions Inc | Information processor, information asset management system, information asset management method and program |
CN104050519A (en) * | 2014-07-08 | 2014-09-17 | 国家电网公司 | Safety risk prediction method and system for grid scheduling staff |
JP2016218964A (en) * | 2015-05-26 | 2016-12-22 | 日本電信電話株式会社 | Threat analysis support method, threat analysis support device, and threat analysis support program |
JP2017173940A (en) * | 2016-03-22 | 2017-09-28 | 株式会社日立製作所 | Security coping server and system |
JP6279117B1 (en) * | 2017-03-01 | 2018-02-14 | ミツエ 福永 | Conversion system between work evaluation information and risk management information |
WO2018159508A1 (en) * | 2017-03-01 | 2018-09-07 | 株式会社福永事務所 | System for converting between performance revaluation information and risk management information |
JP2018147043A (en) * | 2017-03-01 | 2018-09-20 | ミツエ 福永 | Conversion system between job performance evaluation information and risk management information |
WO2019142738A1 (en) * | 2018-01-16 | 2019-07-25 | 株式会社福永事務所 | System for conversion from contribution degree evaluation information to risk management information or from risk management information to contribution degree evaluation information |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11757938B2 (en) | Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network | |
US11188860B2 (en) | Injury risk factor identification, prediction, and mitigation | |
JP5405921B2 (en) | Task management system and security management support system | |
US8060532B2 (en) | Determining suitability of entity to provide products or services based on factors of acquisition context | |
JP2005216003A (en) | Risk management support method and risk management support program | |
AU2020257057A1 (en) | Methods and apparatus for the analyzing, manipulating, formatting, templating, styling and/or publishing of data collected from a plurality of sources | |
US10318908B2 (en) | Prioritizing client accounts | |
US20090241165A1 (en) | Compliance policy management systems and methods | |
US20120272326A1 (en) | Tokenization system | |
US20160125345A1 (en) | Systems, devices, and methods for determining an operational health score | |
AU2020243577B2 (en) | Distributed logbook for anomaly monitoring | |
US20080133424A1 (en) | System and method for negotiating a contract | |
Chebii | Determinants of successful implementation of E-procurement in public institutions in Kenya | |
JP4034284B2 (en) | Company diagnostic report generator | |
JP2004086583A (en) | Expert recommendation system and its device | |
Chen et al. | Return merchandize authorization stakeholders and customer requirements management—high-technology products | |
Benson et al. | Business information management | |
Pilipchuk et al. | Automatically Extracting Business Level Access Control Requirements from BPMN Models to Align RBAC Policies. | |
US20190026661A1 (en) | Method, apparatus, and computer-readable medium for artifact tracking | |
JP7473900B2 (en) | FORMAT CREATION DEVICE, FORMAT CREATION METHOD, AND FORMAT CREATION PROGRAM | |
KR102360917B1 (en) | Systems and methods for maximizing budget utilization through management of limited resources in an online environment | |
JP2004005702A (en) | System and method for analyzing risk, system and method for designing insurance, insurance agreement generating method, risk analyzing program operated on computer and recording medium recording insurance design program or insurance agreement generating program | |
CN107644298A (en) | A kind of method, apparatus of data processing, storage device and terminal device | |
JP2005293267A (en) | Information security management supporting system and program | |
Yee | Visualization of privacy risks in software systems |