JP2005216003A - Risk management support method and risk management support program - Google Patents

Risk management support method and risk management support program Download PDF

Info

Publication number
JP2005216003A
JP2005216003A JP2004022036A JP2004022036A JP2005216003A JP 2005216003 A JP2005216003 A JP 2005216003A JP 2004022036 A JP2004022036 A JP 2004022036A JP 2004022036 A JP2004022036 A JP 2004022036A JP 2005216003 A JP2005216003 A JP 2005216003A
Authority
JP
Japan
Prior art keywords
risk
management
asset
classification
evaluation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2004022036A
Other languages
Japanese (ja)
Inventor
Kiyoshi Koyano
清 児矢野
Seiichi Uchiki
誠一 打木
Fumio Kobayashi
文雄 小林
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Ricoh Co Ltd
Original Assignee
Ricoh Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Ricoh Co Ltd filed Critical Ricoh Co Ltd
Priority to JP2004022036A priority Critical patent/JP2005216003A/en
Publication of JP2005216003A publication Critical patent/JP2005216003A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a risk management support method and a risk management support program, allowing efficient registration of information, risk evaluation or risk control related to assets. <P>SOLUTION: A management computer 21 sets an importance level by selection of an importance level calculation button of an evaluation screen, and imparts classification of information assets by selection of a classification acquisition button. The management computer 21 displays a management degree setting screen by selection of a vulnerability evaluation button of the evaluation screen, and sets a management degree. The management computer 21 calculates a risk evaluation value from generation possibility of a threat based on the set management degree, importance level and classification by use of data of a risk analysis table data storage part 24. The management computer 21 prompts the risk coping to risk having the risk evaluation value of a target value or above. The management computer 21 receiving input of the risk coping acquires a management countermeasure corresponding to the risk from the risk analysis table data storage part 24, and displays it. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、資産に関するリスク管理支援方法及びリスク管理支援プログラムに関する。   The present invention relates to a risk management support method and a risk management support program related to assets.

近年、企業活動において、リスク管理が重要視されている。リスク管理とは、企業や特定の事業にかかわるリスクを分析し、分析したリスクの管理やリスクにより発生する損失の制御などを行うことである。このため、リスク管理においては、その企業の資産についてのリスク評価を行うことがなされる。   In recent years, risk management has been emphasized in corporate activities. The risk management is to analyze a risk relating to a company or a specific business, and to manage the analyzed risk and control a loss caused by the risk. For this reason, in risk management, risk assessment is performed on the assets of the company.

そこで、効率的で効果的なリスク管理を実現するために、リスクを評価するリスク管理方法が開示されている(例えば、特許文献1参照。)。この特許文献1において、制御部は、資産としての施設に関する施設情報と地域情報とに基づいて、この施設で発生しうるリスクの実質的な損害額を算出する。制御部は、リスクの発生可能性に基づく係数(発生係数)と、影響度合いに基づく係数とを求め、基準金額にこれらの係数を乗じることでリスクの重要度を決定する。制御部は、更に、重要度とリスク回避コストとの比率を求め、求めた比率に基づいてリスク回避対策を実施することの価値を判定する。
特開2003−99601号公報(図5) Therefore, a risk management method for evaluating risk is disclosed in order to realize efficient and effective risk management (see, for example, Patent Document 1). In Patent Document 1, the control unit calculates a substantial amount of risk that may occur in the facility based on the facility information and the area information regarding the facility as an asset. The control unit obtains a coefficient (occurrence coefficient) based on the risk occurrence possibility and a coefficient based on the degree of influence, and determines the importance of the risk by multiplying the reference amount by these coefficients. The control unit further obtains a ratio between the importance level and the risk avoidance cost, and determines the value of implementing the risk avoidance measure based on the obtained ratio.
Japanese Patent Laying-Open No. 2003-99601 (FIG. 5)

ところが、リスク管理は、特許文献1のようにリスク評価を行う前に、その評価を行う対象の資産を把握する必要がある。従来は、資産に関する情報をアンケート形式で回収して集計していた。このため、資産に関する情報を集計した後、各資産について個別にリスク評価を行っていた。従って、管理すべき資産が多くなるにつれて、資産情報の登録、リスク評価やリスク対応を効率よく行うシステムが望まれる。   However, in risk management, before performing risk evaluation as in Patent Document 1, it is necessary to grasp the asset to be evaluated. In the past, information on assets was collected and aggregated in a questionnaire format. For this reason, after compiling information on assets, each asset was individually assessed for risk. Therefore, a system that efficiently registers asset information, performs risk assessment and risk management is desired as the number of assets to be managed increases.

本発明は、上述の課題に鑑みてなされ、その目的は、資産に関する情報の登録、リスク評価やリスク対応を効率よく行うことができるリスク管理支援方法及びリスク管理支援プログラムを提供することにある。   The present invention has been made in view of the above-described problems, and an object of the present invention is to provide a risk management support method and a risk management support program that can efficiently perform information registration, risk evaluation, and risk management related to assets.

上記問題点を解決するために、請求項1に記載の発明は、資産のリスク評価を行う管理コンピュータを用いて、リスク管理を支援する方法であって、前記管理コンピュータは、前記資産に関するデータを登録する登録画面からリスク評価画面を表示する表示段階と、前記リスク評価画面の表示項目が選択されることによって、リスク評価値を算出するためのパラメータを設定するパラメータ設定段階と、前記リスク評価画面の表示項目の選択によって、前記パラメータに基づくリスク評価値を算出するリスク評価段階とを含むことを要旨とする。   In order to solve the above problem, the invention described in claim 1 is a method for supporting risk management using a management computer that performs risk assessment of assets, wherein the management computer stores data on the assets. A display stage for displaying a risk assessment screen from a registration screen to be registered, a parameter setting stage for setting parameters for calculating a risk assessment value by selecting a display item on the risk assessment screen, and the risk assessment screen And a risk evaluation step of calculating a risk evaluation value based on the parameter by selecting the display item.

請求項2に記載の発明は、請求項1に記載のリスク管理支援方法において、前記管理コンピュータは、リスクに対する対応を促すか否かを判断するための受容基準値を記録した受容基準値記憶部に接続されており、前記管理コンピュータが、前記リスク評価段階で算出したリスク評価値が、前記受容基準値以上のリスクの内容を前記リスク評価画面に表示させて、この表示させたリスクに対する対応を促す対応促進段階を更に含むことを要旨とする。   According to a second aspect of the present invention, in the risk management support method according to the first aspect, the acceptance reference value storage unit in which the management computer records an acceptance reference value for determining whether or not to promote a response to a risk. The risk management value calculated by the management computer at the risk evaluation stage is displayed on the risk evaluation screen with the risk evaluation value calculated at the risk evaluation stage or more, and a response to the displayed risk is made. The gist is to further include an urging response promotion stage.

請求項3に記載の発明は、請求項2に記載のリスク管理支援方法において、前記管理コ
ンピュータは、前記資産のリスクと、これに対応する管理策に関するデータとを記録した分析表データ記憶部を有し、前記管理コンピュータが、対応を行うリスクに対する管理策を、前記分析表データ記憶部から取得して、前記リスク評価画面に提示する管理策提示段階を含むことを要旨とする。 According to a third aspect of the present invention, in the risk management support method according to the second aspect, the management computer includes an analysis table data storage unit that records the risk of the asset and data related to a management policy corresponding thereto. The management computer includes a management measure presentation step of acquiring a management measure for the risk to be dealt with from the analysis table data storage unit and presenting it on the risk evaluation screen.

請求項4に記載の発明は、請求項1〜3のいずれか1つに記載のリスク管理支援方法において、前記資産の分類と、この分類に対応する前記リスクの内容を関連付けして記録した分類データ記憶部を有し、前記パラメータ設定段階は、前記管理コンピュータが、前記資産の分類に関するデータに基づいて前記分類データ記憶部から前記資産のリスクの内容を取得する分類リスク取得段階を含み、前記リスク評価段階は、前記分類リスク取得段階において取得したリスクの内容に対するリスク評価値を算出することを要旨とする。   The invention according to claim 4 is the risk management support method according to any one of claims 1 to 3, wherein the asset classification and the classification of the risk corresponding to the classification are recorded in association with each other. The parameter setting step includes a classification risk acquisition step in which the management computer acquires a risk content of the asset from the classification data storage unit based on data relating to the asset classification, The gist of the risk evaluation stage is to calculate a risk evaluation value for the contents of the risk acquired in the classification risk acquisition stage.

請求項5に記載の発明は、請求項4に記載のリスク管理支援方法において、前記資産は、情報資産であり、前記管理コンピュータは、分類リスク取得段階における分類を、前記情報資産の資産属性及び取扱属性に基づいて決定する分類決定段階を更に備えたことを要旨とする。   According to a fifth aspect of the present invention, in the risk management support method according to the fourth aspect, the asset is an information asset, and the management computer classifies the asset at the classification risk acquisition stage with the asset attribute of the information asset and The gist of the present invention is that it further comprises a classification determination step for determining based on the handling attribute.

請求項6に記載の発明は、資産のリスク評価を行う管理コンピュータを用いて、リスク管理を支援するプログラムであって、前記管理コンピュータを、前記資産に関するデータを登録する登録画面からリスク評価画面を表示する表示手段、前記リスク評価画面の表示項目が選択されることによって、リスク評価値を算出するためのパラメータを設定するパラメータ設定手段、及び前記リスク評価画面の表示項目の選択によって、前記パラメータに基づくリスク評価値を算出するリスク評価手段を含むことを要旨とする。   The invention according to claim 6 is a program for supporting risk management by using a management computer that performs risk assessment of assets, wherein the management computer changes a risk assessment screen from a registration screen for registering data relating to the asset. Display means for displaying, parameter setting means for setting a parameter for calculating a risk evaluation value by selecting a display item on the risk evaluation screen, and selection of a display item on the risk evaluation screen, The gist is to include a risk evaluation means for calculating a risk evaluation value based thereon.

請求項7に記載の発明は、請求項6に記載のリスク管理支援プログラムにおいて、前記管理コンピュータは、リスクに対する対応を促すか否かを判断するための受容基準値を記録した受容基準値記憶部に接続されており、前記管理コンピュータが、前記リスク評価手段で算出したリスク評価値が、前記受容基準値以上のリスクの内容を前記リスク評価画面に表示させて、この表示させたリスクに対する対応を促す対応促進手段を更に含むことを要旨とする。   According to a seventh aspect of the present invention, in the risk management support program according to the sixth aspect of the present invention, the acceptance reference value storage unit in which the management computer records an acceptance reference value for determining whether or not to promote a response to a risk. The risk assessment value calculated by the risk assessment means is displayed on the risk assessment screen by the management computer, and the risk assessment value calculated by the risk assessment means is displayed on the risk assessment screen. The gist of the present invention is to further include an urging response promoting means.

請求項8に記載の発明は、請求項7に記載のリスク管理支援プログラムにおいて、前記管理コンピュータは、前記資産のリスクと、これに対応する管理策に関するデータとを記録した分析表データ記憶部を有し、前記管理コンピュータが、対応を行うリスクに対する管理策を、前記分析表データ記憶部から取得して、前記リスク評価画面に提示する管理策提示手段を含むことを要旨とする。   The invention according to claim 8 is the risk management support program according to claim 7, wherein the management computer includes an analysis table data storage unit that records the risk of the asset and data related to a management policy corresponding thereto. The management computer includes a management measure presenting means for acquiring a management measure for the risk to be dealt with from the analysis table data storage unit and presenting it on the risk evaluation screen.

請求項9に記載の発明は、請求項6〜8のいずれか1つに記載のリスク管理支援プログラムにおいて、前記資産の分類と、この分類に対応する前記リスクの内容を関連付けして記録した分類データ記憶部を有し、前記パラメータ設定手段は、前記管理コンピュータが、前記資産の分類に関するデータに基づいて前記分類データ記憶部から前記資産のリスクの内容を取得する分類リスク取得手段を含み、前記リスク評価手段は、前記分類リスク取得手段において取得したリスクの内容に対するリスク評価値を算出することを要旨とする。   The invention according to claim 9 is the risk management support program according to any one of claims 6 to 8, wherein the asset classification and the classification of the risk corresponding to the classification are recorded in association with each other. The parameter setting means includes a classification risk acquisition means for the management computer to acquire a risk content of the asset from the classification data storage section based on data relating to the asset classification; The gist of the risk evaluation means is to calculate a risk evaluation value for the content of the risk acquired by the classification risk acquisition means.

請求項10に記載の発明は、請求項9に記載のリスク管理支援方法において、前記資産は、情報資産であり、前記管理コンピュータは、分類リスク取得手段における分類を、前記情報資産の資産属性及び取扱属性に基づいて決定する分類決定手段を更に備えたことを要旨とする。   A tenth aspect of the present invention is the risk management support method according to the ninth aspect, wherein the asset is an information asset, and the management computer determines a classification in the classification risk acquisition means, an asset attribute of the information asset, and The gist of the invention is that it further comprises a classification determining means for determining based on the handling attribute.

(作用)
請求項1又は6に記載の発明によれば、管理コンピュータは、資産に関するデータを登録する登録画面からリスク評価画面を表示する。管理コンピュータは、表示したリスク評価画面の表示項目が選択されることによって、資産のリスク評価値を算出するパラメータを設定する。管理コンピュータは、リスク評価画面の表示項目が選択されることによって、パラメータに基づくリスク評価値を算出する。このため、管理コンピュータは、資産に関するデータを確認した後、その資産のパラメータの設定及びリスク評価値の算出を比較的容易に行うことができる。従って、効率よくリスク評価を行うことができる。 (Function)
According to the invention described in claim 1 or 6, the management computer displays the risk evaluation screen from the registration screen for registering data relating to assets. The management computer sets a parameter for calculating the risk evaluation value of the asset by selecting a display item on the displayed risk evaluation screen. The management computer calculates a risk evaluation value based on the parameter by selecting a display item on the risk evaluation screen. For this reason, the management computer can relatively easily perform the setting of the parameter of the asset and the calculation of the risk evaluation value after confirming the data regarding the asset. Therefore, risk evaluation can be performed efficiently.

請求項2又は7に記載の発明によれば、管理コンピュータは、リスクに対する対応を促すか否かを判断するための受容基準値を記録した受容基準値記憶部に接続されている。管理コンピュータは、リスク評価値が受容基準値以上のリスクの内容をリスク評価画面に表示させて、この表示させたリスクに対する対応を促す。このため、利用者は、受容基準値を満たさないために、対応を行う必要のあるリスクを容易に把握できる。従って、受容基準値を満たさないリスク評価値のリスクに対する対応を効率的に行うことができる。   According to the second or seventh aspect of the invention, the management computer is connected to the acceptance reference value storage unit that records the acceptance reference value for determining whether or not to promote the response to the risk. The management computer displays the content of the risk whose risk evaluation value is equal to or higher than the acceptance standard value on the risk evaluation screen, and prompts a response to the displayed risk. For this reason, the user can easily grasp the risk that needs to be addressed because the acceptance standard value is not satisfied. Therefore, it is possible to efficiently deal with the risk of the risk evaluation value that does not satisfy the acceptance standard value.

請求項3又は8に記載の発明によれば、管理コンピュータは、資産のリスクと、これに対応する管理策に関するデータとを記録したリスク分析表データ記憶部を有する。管理コンピュータは、対応を行うリスクに対する管理策を、リスク評価画面に提示する。このため、利用者は、リスクに対する管理策を容易に把握することができる。従って、リスクに対する対応を管理策に基づいて効率的に行うことができる。   According to the invention described in claim 3 or 8, the management computer has a risk analysis table data storage unit that records the risk of the asset and the data related to the management policy corresponding to the asset risk. The management computer presents management measures for the risk to be dealt with on the risk evaluation screen. For this reason, the user can grasp | ascertain the management policy with respect to a risk easily. Therefore, it is possible to efficiently deal with the risk based on the management policy.

請求項4又は9に記載の発明によれば、資産の分類と、この分類に対応するパラメータとを関連付けして記録した分類データ記憶部を有する。管理コンピュータは、資産の分類に関するデータに基づいて、分類データ記憶部から資産のリスクの内容を取得し、取得したリスクの内容からリスク評価値を算出する。このため、管理コンピュータは、資産の分類によって決まるリスクの内容のすべてに基づいて、漏れなくリスク評価値を算出することができる。従って、資産に対して、より正確なリスク評価を行うことができる。   According to the invention described in claim 4 or 9, it has the classification data storage unit that records the asset classification and the parameter corresponding to the classification in association with each other. The management computer acquires the risk content of the asset from the classification data storage unit based on the data regarding the asset classification, and calculates a risk evaluation value from the acquired risk content. Therefore, the management computer can calculate the risk evaluation value without omission based on all of the risk contents determined by the asset classification. Therefore, a more accurate risk assessment can be performed on the asset.

請求項5又は10に記載の発明によれば、資産は情報資産であり、情報資産の資産属性及び取扱属性に基づいて分類を決定する。このため、資産属性及び取扱属性によってリスク評価値のパラメータを決定してリスク評価を算出するので、資産属性及び取扱属性に応じたリスク評価を行うことができる。従って、資産に対して、より的確なリスク評価を行うことができる。   According to the invention described in claim 5, the asset is an information asset, and the classification is determined based on the asset attribute and the handling attribute of the information asset. For this reason, since the risk evaluation value is determined by determining the parameter of the risk evaluation value based on the asset attribute and the handling attribute, the risk evaluation corresponding to the asset attribute and the handling attribute can be performed. Therefore, more accurate risk assessment can be performed on the asset.

本発明によれば、資産に関する情報の登録やリスク評価を効率よく行うことができる。   According to the present invention, it is possible to efficiently register information about assets and perform risk assessment.

以下、本発明を具体化した一実施形態を図1〜図15に基づいて説明する。本実施形態では、社内の管理コンピュータにおいて、例えば情報セキュリティマネジメントシステム(ISMS:Information Security Management System)の認証基準であるJISQ15001などを準拠する場合に適用することを想定する。また、本実施形態では、資産として情報資産についての具体例に基づいて説明を行う。   Hereinafter, an embodiment embodying the present invention will be described with reference to FIGS. In the present embodiment, it is assumed that the present invention is applied to an in-house management computer when, for example, JISQ 15001 that is an authentication standard of an information security management system (ISMS) is compliant. In the present embodiment, description will be made based on a specific example of information assets as assets.

本実施形態では、複数の端末10がネットワークNを介してリスク管理システム20に接続されている。端末10は、社内の社員などが使用するコンピュータ端末である。この端末10は、ディスプレイ、キーボード及びマウスを備える。ディスプレイは、登録画面やリスク評価画面を表示する。キーボード及びマウスは、数値の入力や項目の選択を行う。   In the present embodiment, a plurality of terminals 10 are connected to the risk management system 20 via the network N. The terminal 10 is a computer terminal used by employees in the company. The terminal 10 includes a display, a keyboard, and a mouse. The display displays a registration screen and a risk assessment screen. The keyboard and mouse are used to input numerical values and select items.

リスク管理システム20は、管理コンピュータ21を備える。管理コンピュータ21は、図示しないCPU、RAM及びROM等を有し、後述する処理(表示段階、分類リスク取得段階を含むパラメータ設定段階、リスク評価段階、対応促進段階、管理策提示段階及び分類決定段階等を含む処理)を行う。そして、このためのリスク管理支援プログラムを実行することにより、管理コンピュータ21は、表示手段、分類リスク取得手段を含むパラメータ設定手段、リスク評価手段、対応促進手段、管理策提示手段及び分類決定手段等として機能する。   The risk management system 20 includes a management computer 21. The management computer 21 includes a CPU, a RAM, a ROM, and the like (not shown), and will be described later (a parameter setting stage including a display stage, a classification risk acquisition stage, a risk evaluation stage, a response promotion stage, a management policy presentation stage, and a classification determination stage. Etc.). Then, by executing the risk management support program for this purpose, the management computer 21 can display parameters, parameter setting means including classification risk acquisition means, risk evaluation means, response promotion means, management measure presentation means, classification determination means, etc. Function as.

また、管理コンピュータ21は、図示しない受容基準値記憶部に接続されている。受容基準値記憶部は、受容基準値としての優先順位度(管理度)の目標値と、リスク評価値の目標値とを記憶している。これら優先順位度の目標値は、リスク管理において、推奨される優先順位度である。また、リスク評価値の目標値とは、リスク管理において満たすべきリスク評価値である。管理コンピュータ21は、後述するように算出するリスク評価値が、このリスク評価値の目標値を満たさない場合には、リスク対応を行うように促す。   The management computer 21 is connected to an acceptance reference value storage unit (not shown). The acceptance reference value storage unit stores a target value of the priority level (management degree) as a acceptance reference value and a target value of the risk evaluation value. These target values of priority levels are recommended priority levels in risk management. The target value of the risk evaluation value is a risk evaluation value that should be satisfied in risk management. When the risk evaluation value calculated as described later does not satisfy the target value of the risk evaluation value as described later, the management computer 21 urges to take a risk countermeasure.

更に、管理コンピュータ21は、リスク評価を行うための優先順位度算出表のデータを記憶している。この優先順位度算出表のデータは、図10に示すように、後述する脅威と重要度から算出される。   Furthermore, the management computer 21 stores data of a priority level calculation table for performing risk evaluation. As shown in FIG. 10, the data of this priority level calculation table is calculated from the threat and importance described later.

更に、管理コンピュータ21は、情報資産データ記憶部22、分類資産マスタデータ記憶部23、リスク分析表データ記憶部24、規格・対応規程データ記憶部25及びリスク管理データ記憶部26に接続されている。   Furthermore, the management computer 21 is connected to an information asset data storage unit 22, a classification asset master data storage unit 23, a risk analysis table data storage unit 24, a standard / corresponding regulation data storage unit 25, and a risk management data storage unit 26. .

情報資産データ記憶部22は、情報資産に関する情報資産データを記憶している。この情報資産データは、端末10の利用者やリスク管理システム20の管理者から情報資産を入力されたときに記録され、情報が変更されたときに更新される。この情報資産データは、情報資産の総称、名称、情報属性、取扱属性及び業務属性に関するデータを含む。   The information asset data storage unit 22 stores information asset data related to information assets. This information asset data is recorded when the information asset is input from the user of the terminal 10 or the administrator of the risk management system 20, and is updated when the information is changed. This information asset data includes data relating to the generic name, name, information attribute, handling attribute, and business attribute of the information asset.

総称データ領域には、この情報資産が識別される識別グループの名称に関するデータが記録される。この総称には、例えば、「顧客情報」、「営業関連情報」及び「社内管理情報」などがある。   In the generic data area, data relating to the name of the identification group for identifying the information asset is recorded. Examples of the generic name include “customer information”, “sales related information”, and “in-house management information”.

名称データ領域には、この情報資産が識別される名称に関するデータが記録される。この名称には、例えば、「営業関連情報」に対しては「価格表」や「新製品情報」などが、「社内管理情報」に対しては「社内規程」や「組織表」などがある。   In the name data area, data relating to the name by which this information asset is identified is recorded. This name includes, for example, “price list” and “new product information” for “sales related information”, and “internal regulations” and “organization chart” for “internal management information”. .

情報属性データ領域には、その情報のオーナに関するデータ、目的・用途に関するデータ及び重要度に関するデータをそれぞれ記録する領域が含まれる。オーナに関するデータ領域には、その資産情報の所有者や管理者を特定するためのデータが記録される。目的・用途に関するデータ領域には、この資産情報を利用する目的又は用途に関するデータが記録される。   The information attribute data area includes areas for recording data relating to the owner of the information, data relating to purpose / use, and data relating to importance. Data for specifying the owner or manager of the asset information is recorded in the data area regarding the owner. In the data area relating to the purpose / use, data relating to the purpose or use of the asset information is recorded.

重要度に関するデータ領域には、この資産情報の重要度に関するデータが記録される。この重要度は、本実施形態では、ISMSの規範に適合するように、機密性、完全性及び可用性の3項目を含んで評価される。機密性は、情報が漏れることに関する事項である。完全性は、情報が変わることに関する事項である。可用性は、情報が消えること又は利用できないことに関する事項である。これらの重要度は、本実施形態では、「レベル1」、「レベル2」、「レベル3」の3段階評価で表示される。「レベル1」は、影響や損失が無視・許容できる範囲にあることを意味する。「レベル2」は、影響や損失の回復が必要
であるが、影響が限定されており短時間で回復できることを意味する。「レベル3」は、影響や損失の回復が必要であり、その範囲が広範囲にわたっており回復に長期間を要することを意味する。 Data relating to the importance of the asset information is recorded in the data area relating to the importance. In this embodiment, the importance is evaluated including three items of confidentiality, integrity, and availability so as to conform to the ISMS norm. Confidentiality is a matter related to information leakage. Integrity is a matter of changing information. Availability is a matter of information disappearing or unavailable. In the present embodiment, these levels of importance are displayed in a three-level evaluation of “level 1”, “level 2”, and “level 3”. “Level 1” means that the influence and loss are in a range that can be ignored and tolerated. “Level 2” means that the effect and loss need to be recovered, but the effect is limited and recovery is possible in a short time. “Level 3” means that it is necessary to recover the effect and loss, the range is wide, and recovery takes a long time.

取扱属性データ領域には、資産分類、媒体取扱形態、入手先、利用範囲、保管場所及び保管期間に関するデータをそれぞれ記録するデータ領域が含まれる。
資産分類データ領域には、情報の種類に関するデータが記録される。この情報の種類には、例えば、「電子データ」、「文書」又は「ハードウェア」などがある。 The handling attribute data area includes data areas for recording data relating to asset classification, medium handling mode, acquisition destination, usage range, storage location, and storage period.
Data relating to the type of information is recorded in the asset classification data area. Examples of the type of information include “electronic data”, “document”, and “hardware”.

媒体取扱形態データ領域には、保管媒体の種類や利用プロセスの種類に関するデータが記録される。この保管媒体の種類には、「単紙」や「サーバシステム」などがある。
入手先データ領域には、その情報を入手した入手先に関するデータが記録される。 Data relating to the type of storage medium and the type of use process is recorded in the medium handling form data area. Types of storage media include “single paper” and “server system”.
In the acquisition destination data area, data relating to the acquisition source from which the information is acquired is recorded.

利用範囲データ領域には、その情報の利用範囲データ領域に関するデータが記録される。この利用範囲には、具体的には、「部長以上」や「制限なし」などがある。
保管場所データ領域には、その情報の保管場所に関するデータが記録される。 In the use range data area, data related to the use range data area of the information is recorded. Specifically, the range of use includes “over manager” and “no limit”.
In the storage location data area, data relating to the storage location of the information is recorded.

保管期間データ領域には、その情報の保管期間に関するデータが記録される。
業務属性データ領域には、その情報を主に利用する業務や組織に関するデータが記録される。 Data relating to the storage period of the information is recorded in the storage period data area.
In the business attribute data area, data relating to a business or organization that mainly uses the information is recorded.

一方、分類資産マスタデータ記憶部23には、資産を分類するための分類用データが記録される。この分類用データは、リスク評価を行うまでに記録される。また、分類用データには、分類項目名、資産分類名及び資産分類コードに関するデータが含まれる。   On the other hand, the classification asset master data storage unit 23 records classification data for classifying assets. This classification data is recorded before the risk assessment. The classification data includes data on classification item names, asset classification names, and asset classification codes.

分類項目名データ領域には、資産の分類項目に関するデータが記録される。本実施形態では、資産分類によっては、大分類、小分類及び詳細分類の分類項目を有するものがある。なお、本実施形態では、詳細分類まで分類されていないことがあり、大分類の分類項目に関するデータのみを有する分類もある。   In the category item name data area, data relating to the category item of the asset is recorded. In this embodiment, some asset classifications have classification items of major classification, minor classification, and detailed classification. In the present embodiment, even the detailed classification may not be classified, and there is also a classification having only data relating to the classification item of the large classification.

資産分類名データ領域には、資産分類の名称に関するデータが記録される。この資産分類の名称には、具体的には、「単紙」や「サーバシステム」などがある。また、この資産分類の名称は、上述した保管媒体の種類と対応付け可能となるように分類される。   Data relating to the name of the asset classification is recorded in the asset classification name data area. Specific examples of the asset classification name include “single paper” and “server system”. The name of the asset classification is classified so that it can be associated with the type of storage medium described above.

資産分類コードデータ領域には、資産分類名を特定するための識別コードが記録される。
また、リスク分析表データ記憶部24には、リスク分析表データ240が記録される。リスク分析表データ240は、分類資産マスタデータ記憶部23に記録された後、その記録された分類に対する項目としてリスク分析表データ記憶部24に記録される。このリスク分析表データ240は、図2に示すように、資産分類及び媒体取扱形態毎の、脆弱性の識別、脅威の識別、脅威の発生可能性と脅かす側面及び管理策に関するデータを含む。 In the asset classification code data area, an identification code for specifying the asset classification name is recorded.
The risk analysis table data 240 is recorded in the risk analysis table data storage unit 24. After the risk analysis table data 240 is recorded in the classified asset master data storage unit 23, it is recorded in the risk analysis table data storage unit 24 as an item for the recorded classification. As shown in FIG. 2, the risk analysis table data 240 includes data on vulnerability identification, threat identification, threat occurrence possibility and threatening aspect, and management measures for each asset classification and medium handling mode.

資産分類データ領域には、資産の分類項目に関するデータが記録される。この分類には、例えば、「情報資産」などがある。
媒体取扱形態データ領域には、情報資産を保存などして取り扱っている形態に関するデータが記録される。この媒体取扱形態には、例えば、「サーバシステム」などがある。 In the asset classification data area, data related to asset classification items is recorded. This classification includes, for example, “information asset”.
In the medium handling form data area, data relating to the form in which information assets are handled is stored. Examples of this medium handling mode include “server system”.

脆弱性の識別データ領域には、その情報資産に生じる可能性のある脆弱性の項目内容に関するデータが記録される。
脅威の識別データ領域には、その脆弱性に対して生じる可能性のある脅威の識別が記録
されている。 In the vulnerability identification data area, data relating to the item contents of the vulnerability that may occur in the information asset is recorded.
In the threat identification data area, identification of threats that may occur for the vulnerability is recorded.

脅威の発生可能性と脅かす側面のデータ領域には、機密性、完全性、可用性に関するデータが記録される。本実施形態では、これら機密性、完全性、可用性について、3段階に設定がされている。具体的には、「まれに発生する」レベル1の「低」と、「たまに発生する」レベル2の「中」及び「頻繁に発生する」レベル3の「高」である。
管理策データ領域には、その脆弱性に対して行われる管理の対策に関する規格番号に関するデータが記録される。 Data on confidentiality, integrity, and availability are recorded in the data area of the threat potential and threatening aspects. In the present embodiment, these confidentiality, integrity, and availability are set in three stages. Specifically, it is “low” of level 1 “rarely occurring”, “medium” of level 2 “occurring occasionally”, and “high” of level 3 “occurring frequently”.
In the management policy data area, data relating to the standard number relating to the management measures taken for the vulnerability is recorded.

一方、規格・対応規程データ記憶部25には、各種の規格データや対応規程に関するデータが記録される。このデータには、具体的には、ベストプラクティス規格、ISMSマニュアル及びこれらに関連する文書データなどがある。   On the other hand, in the standard / corresponding rule data storage unit 25, various standard data and data relating to the corresponding rules are recorded. Specifically, this data includes best practice standards, ISMS manuals, and related document data.

また、リスク管理データ記憶部26は、リスク管理を行う情報資産についてのデータが記録される。このリスク管理データ記憶部26は、リスク評価値を算出した後に、情報資産データ記憶部22から管理対象として抽出した情報資産を記録する。   Further, the risk management data storage unit 26 records data on information assets for risk management. The risk management data storage unit 26 records information assets extracted as management targets from the information asset data storage unit 22 after calculating the risk evaluation value.

次に、リスク管理システム20を用いた情報資産評価処理について、図3及び図4に基づいて説明する。
リスク管理システム20の管理コンピュータ21は、まず、登録処理を行う(ステップS1−1)。具体的には、管理コンピュータ21は、情報資産についてのデータの入力画面データを端末10に送信する。端末10は、ディスプレイに入力画面を表示させて、利用者に対してデータの入力を促す。 Next, information asset evaluation processing using the risk management system 20 will be described with reference to FIGS.
The management computer 21 of the risk management system 20 first performs a registration process (step S1-1). Specifically, the management computer 21 transmits data input screen data about information assets to the terminal 10. The terminal 10 displays an input screen on the display and prompts the user to input data.

ここで、利用者は、端末10を用いて情報資産についてのデータを入力する。このとき、入力されるデータには、その情報資産の総称、名称、目的・用途、入手先、利用者範囲、機密性、完全性及び可用性についての各重要度、保管媒体の種類、媒体の取扱形態、保管場所、利用者の制限、管理担当、保管期間に関するデータが含まれる。   Here, the user inputs data about information assets using the terminal 10. At this time, the input data includes the general name, name, purpose / use, source, user range, confidentiality, completeness and availability of each information asset, the type of storage medium, and the handling of the medium. Includes data on form, storage location, user restrictions, manager, and storage period.

そして、端末10は、利用者によるデータの入力が完了すると、この入力されたデータをリスク管理システム20に送信する。リスク管理システム20の管理コンピュータ21は、情報資産についてのデータを情報資産データ記憶部22に登録する。これにより登録処理(ステップS1−1)が完了する。   Then, when the data input by the user is completed, the terminal 10 transmits the input data to the risk management system 20. The management computer 21 of the risk management system 20 registers data about information assets in the information asset data storage unit 22. This completes the registration process (step S1-1).

その後、端末10を介して利用者により所定の情報資産が指定されると、リスク管理システム20の管理コンピュータ21は、指定された情報資産の内容に関するデータを端末10に送信する。端末10は、受信したデータに基づいて、図5に示すように内容表示画面500を表示する。ここで、図5には、総称が「社内管理に関する情報」であって、名称が「社内規程」である情報資産の内容が表示されている。   Thereafter, when a predetermined information asset is designated by the user via the terminal 10, the management computer 21 of the risk management system 20 transmits data relating to the content of the designated information asset to the terminal 10. The terminal 10 displays a content display screen 500 as shown in FIG. 5 based on the received data. Here, FIG. 5 shows the contents of information assets whose generic name is “information related to internal management” and whose name is “internal regulations”.

なお、図5に示された内容表示画面500には、その情報資産の目的・用途として「ISMS構築関連資料」が表示される。また、内容表示画面500には、その情報資産の入手先としての「社内各部門」、利用範囲としての「制限なし」が含まれている。更に、その情報資産の重要度である秘密性、完全性及び可用性の値が表示される。   In the content display screen 500 shown in FIG. 5, “ISMS construction related material” is displayed as the purpose / use of the information asset. Further, the content display screen 500 includes “in-house departments” as the acquisition source of the information assets and “no restriction” as the usage range. Furthermore, the confidentiality, integrity and availability values that are the importance of the information asset are displayed.

また、内容表示画面500には、保管媒体の種類としての「電子データ」、媒体の取扱形態としての「ローカルディスク」及び保管場所としての「パソコン」が含まれる。更に、内容表示画面500には、管理担当者として、資産情報を登録した登録者である「自分」が含まれる。   The content display screen 500 also includes “electronic data” as the type of storage medium, “local disk” as the medium handling mode, and “personal computer” as the storage location. Furthermore, the content display screen 500 includes “self” who is a registrant who registered asset information as a person in charge of management.

その後、情報資産台帳の内容表示画面500のタイトル「情報資産登録内容」の上に表示されている「評価」の項目が指定されると、図6に示す情報資産の評価画面600が表示される。   Thereafter, when the item “evaluation” displayed on the title “information asset registration content” of the information asset ledger content display screen 500 is designated, the information asset evaluation screen 600 shown in FIG. 6 is displayed. .

この評価画面600には、登録された資産分類や資産の所有者などの情報が表示されている。また、この評価画面600には、表示項目として、情報資産の重要度に関する項目610、脅威評価に関する項目620、脆弱性評価に関する項目630、リスク評価に関する項目640、リスク対応に関する項目650及び管理策に関する項目660が含まれる。また、評価画面600には、重要度算定ボタン611、分類取得ボタン621、脅威評価ボタン622、脆弱性評価ボタン631、リスク対応設定ボタン651及び管理策取得ボタン661が含まれる。   The evaluation screen 600 displays information such as registered asset classification and asset owner. In addition, the evaluation screen 600 includes, as display items, an item 610 related to the importance of information assets, an item 620 related to threat evaluation, an item 630 related to vulnerability evaluation, an item 640 related to risk evaluation, an item 650 related to risk management, and a control measure. Item 660 is included. The evaluation screen 600 includes an importance calculation button 611, a classification acquisition button 621, a threat evaluation button 622, a vulnerability evaluation button 631, a risk correspondence setting button 651, and a management measure acquisition button 661.

次に、リスク管理システム20の管理コンピュータ21は、重要度の設定を行う(ステップS1−2)。ここで、資産情報の登録だけを行った初期状態の場合、図6に示す評価画面600の重要度の項目には、すべて「0」が表示される。そこで、重要度算定ボタン611が選択されると、管理コンピュータ21は、情報資産データ記憶部22に記録した情報資産データの重要度データを取得する。そして、管理コンピュータ21は、総合重要度評価の値を算定する。この総合重要度評価の値は、機密性、完全性及び可用性を含む重要度のうちの最大の値である。   Next, the management computer 21 of the risk management system 20 sets importance (step S1-2). Here, in the initial state in which only asset information registration is performed, “0” is displayed for all items of importance on the evaluation screen 600 shown in FIG. Therefore, when the importance calculation button 611 is selected, the management computer 21 acquires importance data of the information asset data recorded in the information asset data storage unit 22. And the management computer 21 calculates the value of comprehensive importance evaluation. The value of this total importance evaluation is the maximum value of importance including confidentiality, integrity, and availability.

そして、管理コンピュータ21は、評価画面600の重要度の項目610に、重要度としての機密性、完全性及び可用性の値と総合重要度評価の値とを表示する。例えば、図7に示すように、機密性が「2」、完全性が「1」及び可用性が「1」の場合には、総合重要度評価は、最大値である機密性の「2」となる。   The management computer 21 displays the confidentiality, integrity, and availability values as the importance and the value of the comprehensive importance evaluation in the importance item 610 of the evaluation screen 600. For example, as shown in FIG. 7, when the confidentiality is “2”, the integrity is “1”, and the availability is “1”, the total importance evaluation is “2” of the maximum confidentiality. Become.

次に、リスク管理システム20の管理コンピュータ21は、資産分類コードの付与を行う(ステップS1−3)。具体的には、利用者は、評価画面600に表示された分類取得ボタン621を選択する。すると、管理コンピュータ21は、分類資産マスタデータ記憶部23から分類用データを取得し、このデータに基づいて図8の分類一覧画面700を表示する。   Next, the management computer 21 of the risk management system 20 assigns an asset classification code (step S1-3). Specifically, the user selects the classification acquisition button 621 displayed on the evaluation screen 600. Then, the management computer 21 acquires the classification data from the classification asset master data storage unit 23, and displays the classification list screen 700 of FIG. 8 based on this data.

この分類一覧画面700には、階層的に表示された分類項目、資産分類名及びその資産分類コードが表示される。利用者は、分類項目において、大分類から選択して、付与する資産分類を表示させる。   The category list screen 700 displays hierarchically displayed category items, asset category names, and their asset category codes. The user selects a major category and displays the asset category to be given in the category item.

ここで、利用者が、資産分類名の「ローカルディスクのデータ」を選択した後、分類一覧画面700のOKボタン701を選択する場合を想定する。そして、管理コンピュータ21は、資産分類名の「ローカルディスクのデータ」に対応する資産分類コードを情報資産データ記憶部22に記録する。そして、管理コンピュータ21は、図9に示すように、選択される資産分類コードの資産分類名とその分類名とを脅威評価の項目630に表示する。   Here, it is assumed that the user selects the OK button 701 on the classification list screen 700 after selecting “local disk data” of the asset classification name. Then, the management computer 21 records the asset classification code corresponding to the asset classification name “local disk data” in the information asset data storage unit 22. Then, as shown in FIG. 9, the management computer 21 displays the asset classification name of the selected asset classification code and the classification name in the threat evaluation item 630.

次に、管理コンピュータ21は、脅威の設定を行う(ステップS1−4)。これは、図6に示す評価画面600に含まれる脅威評価ボタン622が選択されることにより行われる。評価画面600の脅威評価ボタン622が選択された場合、管理コンピュータ21は、付与した資産分類コードに基づいて、その資産の脅威に関するデータを、リスク分析表データ240から取得する。   Next, the management computer 21 performs threat setting (step S1-4). This is performed by selecting the threat evaluation button 622 included in the evaluation screen 600 shown in FIG. When the threat evaluation button 622 on the evaluation screen 600 is selected, the management computer 21 acquires data relating to the threat of the asset from the risk analysis table data 240 based on the assigned asset classification code.

例えば、利用者が「ローカルディスクのデータ」を選択した場合、これに対応する「電子データ」の「サーバシステム」に関するデータを、管理コンピュータ21は、リスク分
析表データ記憶部24から取得する。すなわち、図2に示すように、管理コンピュータ21は、「電子データ」の「サーバシステム」に対応する「脆弱性の識別」、「脅威の識別」及び「脅威の発生可能性と脅かす側面」に関するデータをリスク分析表データ記憶部24から取得する。更に、管理コンピュータ21は、「脅威の発生可能性」の値のうち、脅威の発生が最も高い値を、脅威評価値として算定する。例えば、図2の「サーバシステム」の場合には、「脅威の発生可能性」が最も高い「中」を脅威評価の値として算定する。そして、管理コンピュータ21は、取得した「脅威の発生可能性」のデータ及び脅威評価の値を、評価画面600の脅威評価の項目630に表示する。 For example, when the user selects “data on local disk”, the management computer 21 acquires data related to “server system” of “electronic data” corresponding thereto from the risk analysis table data storage unit 24. That is, as shown in FIG. 2, the management computer 21 relates to “vulnerability identification”, “threat identification”, and “a threatening aspect and threatening aspect” corresponding to the “server system” of “electronic data”. Data is acquired from the risk analysis table data storage unit 24. Further, the management computer 21 calculates a value with the highest threat occurrence as a threat evaluation value among the values of “probability of occurrence of threat”. For example, in the case of the “server system” in FIG. 2, “medium” having the highest “probability of threat” is calculated as a threat evaluation value. Then, the management computer 21 displays the acquired “probability of threat” data and the value of the threat evaluation in the threat evaluation item 630 of the evaluation screen 600.

次に、管理コンピュータ21は、優先順位度を決定する。具体的には、管理コンピュータ21は、取得した機密性、完全性及び可用性に関するデータと、上記ステップS1−2で設定された重要度のデータとに基づいて、図10に示す優先順位度算出表を用いて優先順位度を算出する。具体的には、重要度が「中」の「レベル2」であり、脅威が「中」である場合には、図10で示すように、優先順位度は「6」になる。   Next, the management computer 21 determines the priority level. Specifically, the management computer 21 uses the priority level calculation table shown in FIG. 10 based on the acquired data relating to confidentiality, integrity, and availability and the importance data set in step S1-2. Is used to calculate the priority level. Specifically, when the importance is “medium” “level 2” and the threat is “medium”, the priority degree is “6” as shown in FIG.

次に、管理コンピュータ21は、脆弱性(管理度)を設定する(ステップS1−5)。これは、図6に示す評価画面600に含まれる脆弱性評価ボタン631が選択されることにより行われる。評価画面600の脆弱性評価ボタン631が選択されると、管理コンピュータ21は、脅威の項目620で設定した資産分類コードを取得する。そして、管理コンピュータ21は、リスク分析表データ記憶部24から、資産分類コードに対応する「脆弱性の識別」の項目を抽出する。例えば、「電子データ」の「サーバシステム」という資産分類が選択された場合には、管理コンピュータ21は、図2で示すように、この資産分類に対応する「不適切な認証」や「不適切なアクセス権」などの項目を取得する。   Next, the management computer 21 sets vulnerability (management degree) (step S1-5). This is performed by selecting the vulnerability evaluation button 631 included in the evaluation screen 600 shown in FIG. When the vulnerability evaluation button 631 on the evaluation screen 600 is selected, the management computer 21 acquires the asset classification code set in the threat item 620. Then, the management computer 21 extracts the “vulnerability identification” item corresponding to the asset classification code from the risk analysis table data storage unit 24. For example, when the asset classification “server system” of “electronic data” is selected, the management computer 21 performs “inappropriate authentication” or “inappropriate” corresponding to this asset classification, as shown in FIG. To obtain items such as "right access rights".

更に、管理コンピュータ21は、抽出した「脆弱性の識別」に基づいて画面データを作成する。ここで、管理コンピュータ21は、「脆弱性の識別」に対する管理度を設定するために、抽出した「脆弱性の識別」の個数に対応する画面データを作成する。例えば、「サーバシステム」の「脆弱性の識別」の項目が21件あった場合には、この21件の項目に対応する画面データを作成する。そして、管理コンピュータ21は、画面データに基づいて、1つの「脆弱性の識別」に対する管理度を設定するための管理度設定画面800を表示する。   Furthermore, the management computer 21 creates screen data based on the extracted “vulnerability identification”. Here, the management computer 21 creates screen data corresponding to the number of extracted “vulnerability identifications” in order to set the management degree for “vulnerability identification”. For example, if there are 21 items of “vulnerability identification” in the “server system”, screen data corresponding to the 21 items is created. Then, the management computer 21 displays a management level setting screen 800 for setting a management level for one “vulnerability identification” based on the screen data.

管理度設定画面800には、図11に示すように、資産の総称、資産分類、重要度の値、該当する脅威の項目、脅威の内容、脆弱性の内容、管理目的の内容、管理策例の内容、ISMS規格の内容、管理度を設定するべき件数(21件)などが含まれる。また、管理度設定画面800には、管理度のレベルを表示するためのプルダウンメニュー810、更新ボタン、件数プルダウンメニュー820及びOKボタン830が含まれる。なお、図11の管理度設定画面800の脆弱性の内容には、図2に示すような「脆弱性の識別」の項目がそれぞれ表示される。また、管理度設定画面800の脅威の内容には、その「脆弱性の識別」の項目に対応する「脅威の識別」の内容が表示される。   In the management level setting screen 800, as shown in FIG. 11, the generic name of assets, asset classification, importance value, corresponding threat item, threat content, vulnerability content, management purpose content, management example Contents, ISMS standard contents, number of cases (21 cases) for which the management level should be set. The management level setting screen 800 includes a pull-down menu 810 for displaying the level of management level, an update button, a number-of-items pull-down menu 820, and an OK button 830. It should be noted that an item of “vulnerability identification” as shown in FIG. 2 is displayed in the contents of vulnerability on the management level setting screen 800 of FIG. Further, in the threat content on the management level setting screen 800, the content of “threat identification” corresponding to the item of “vulnerability identification” is displayed.

ここで、図11に示すように管理度設定画面800のプルダウンメニュー810が利用者によりを選択されると、管理コンピュータ21は、レベル1〜5のいずれか又は評価対象外を選択するように表示する。なお、レベル1とは、社内標準などがあり、かつ常時モニタが実施されているなど「とても強い」レベルを意味する。レベル2とは、社内標準などがあり、現状で十分であるなど、「強い」レベルを意味する。レベル3は、注意すれば運用できるなど、「普通」レベルを意味する。レベル4は、社内標準はあるが周知されていないなど、「弱い」レベルを意味する。レベル5は、社内標準がなく、対策を講じる必要があるなど、「とても弱い」レベルを意味する。   Here, as shown in FIG. 11, when the user selects the pull-down menu 810 on the management level setting screen 800, the management computer 21 displays to select one of levels 1 to 5 or not to be evaluated. To do. Level 1 means a “very strong” level, such as in-house standards that are constantly monitored. Level 2 means a “strong” level, such as an internal standard, which is sufficient at present. Level 3 means a “normal” level, such as being able to operate with care. Level 4 means a “weak” level, such as an internal standard that is not well known. Level 5 means a “very weak” level where there is no internal standard and measures need to be taken.

ここで、脅威の内容からそれが発生する可能性についての管理度を判断した利用者により、管理度の値が決定されて更新ボタンが選択される。これにより、管理コンピュータ21は、管理度設定画面800に表示された「脆弱性の項目」に対する管理度を、情報資産データ記憶部22に記憶する。   Here, the value of the management level is determined and the update button is selected by the user who has determined the management level regarding the possibility of occurrence of the threat from the content of the threat. Thereby, the management computer 21 stores the management level for the “vulnerability item” displayed on the management level setting screen 800 in the information asset data storage unit 22.

次に、管理度設定画面800の件数プルダウンメニュー820が選択されると、管理コンピュータ21は、選択された件数の「脆弱性の識別」の項目の管理度を設定するための管理度設定画面800を表示させる。そして、管理コンピュータ21は、その件についての管理度の設定を行う。このようにして、管理コンピュータ21は、管理度設定画面800に表示するすべての件(ここでは21件)について管理度を設定する。   Next, when the number of items pull-down menu 820 on the management level setting screen 800 is selected, the management computer 21 sets the management level of the “vulnerability identification” item for the selected number of management levels. Is displayed. Then, the management computer 21 sets the management degree for the matter. In this way, the management computer 21 sets the management level for all items (21 in this case) displayed on the management level setting screen 800.

そして、すべての件についての管理度を設定すると、管理コンピュータ21は、リスク評価値を算出する(ステップS1−6)。具体的には、管理コンピュータ21は、設定された管理度をリスク換算値に変換する。ここで、管理度が「とても強い」、「強い」、「普通」、「弱い」、「とても弱い」のレベルは、それぞれ「0.00」、「0.25」、「0.50」、「0.70」、「1.00」に変換される。そして、管理コンピュータ21は、この管理度のリスク換算値と優先順位度とを積算することにより、リスク評価値を算出する。なお、優先順位度は脅威と重要度とから決定されるので、管理コンピュータ21は、図12の「リスク算定マトリックス」に示すように、リスク評価値を、重要度、脅威及び管理度から算出する。すなわち、本実施形態では、重要度、脅威及び管理度がリスク評価値を算出するためのパラメータに該当する。   And if the management degree about all the cases is set, the management computer 21 will calculate a risk evaluation value (step S1-6). Specifically, the management computer 21 converts the set management degree into a risk converted value. Here, the management levels of “very strong”, “strong”, “normal”, “weak”, and “very weak” are “0.00”, “0.25”, “0.50”, Converted to “0.70” and “1.00”. Then, the management computer 21 calculates a risk evaluation value by integrating the risk conversion value of this management level and the priority level. Since the priority level is determined from the threat and the importance level, the management computer 21 calculates the risk evaluation value from the importance level, the threat, and the management level as shown in the “risk calculation matrix” in FIG. . In other words, in the present embodiment, the importance level, the threat level, and the management level correspond to parameters for calculating the risk evaluation value.

そして、管理コンピュータ21は、リスク評価の項目640の「脆弱性評価」、「リスク評価」、「脆弱性、受容レベル」及び「リスク、受容レベル」の各値と、評価者の氏名などを表示する。   Then, the management computer 21 displays each value of the “vulnerability assessment”, “risk assessment”, “vulnerability / acceptance level” and “risk / acceptance level” of the risk assessment item 640 and the name of the evaluator. To do.

ここで、管理コンピュータ21は、リスク評価の項目の脆弱性評価として、管理度として評価した全件(ここでは21件)のうち、最も弱いレベルの値を抽出する。例えば、図13においては、「とても弱い(レベル5)」がなく、「弱い(レベル4)」が最も弱いレベルとして設定されている。   Here, the management computer 21 extracts the value of the weakest level among all cases (21 cases in this case) evaluated as the degree of management as the vulnerability evaluation of the risk evaluation item. For example, in FIG. 13, there is no “very weak (level 5)”, and “weak (level 4)” is set as the weakest level.

また、管理コンピュータ21は、算出した「リスク評価値」を評価画面600に表示する。更に、管理コンピュータ21は、優先順位度(管理度)の目標値を「脆弱性、受容レベル」の値として、またリスク評価値の目標値を「リスク、受容レベル」の値として、それぞれ表示する。   Further, the management computer 21 displays the calculated “risk evaluation value” on the evaluation screen 600. Further, the management computer 21 displays the target value of the priority level (management level) as the “vulnerability / acceptance level” value and the target value of the risk evaluation value as the “risk / acceptance level” value. .

次に、管理コンピュータ21は、管理度が設定されたそれぞれの項目(ここでは21件分の項目)のリスク評価値がその目標値よりも低いか否かを判断する(ステップS2−1)。   Next, the management computer 21 determines whether or not the risk evaluation value of each item for which the degree of management is set (here, 21 items) is lower than the target value (step S2-1).

ここで、リスク評価値が目標値よりも低い場合(ステップS2−1において「YES」の場合)には、管理コンピュータ21は、その取扱形態に対して一般的な管理対応策を取得して表示する(ステップS2−2)。例えば、サーバシステムに対してのセキュリティ対策として一般に知られているウィルス対策などを表示する。   When the risk evaluation value is lower than the target value (“YES” in step S2-1), the management computer 21 acquires and displays a general management countermeasure for the handling form. (Step S2-2). For example, a virus measure generally known as a security measure for the server system is displayed.

また、リスク評価値が目標値よりも高い場合(ステップS2−1において「NO」の場合)には、管理コンピュータ21は、リスク対応を設定するべき項目を抽出する(ステップS2−3)。これは、利用者が評価画面600のリスク対応設定ボタン651を選択することにより行われる。管理コンピュータ21は、リスク対応設定ボタン651が選択されると、脆弱性の内容の件のうち、上記ステップS1−5で管理度を「評価対象外」とし
た内容の件を除いた件を抽出する。例えば、21件について管理度の設定を行ったときに、「評価対象外」とした件が12件あった場合には、残りの9件を抽出する。そして、管理コンピュータ21は、図14に示すように、抽出した件についてのリスク対応画面850を表示する。具体的には、管理コンピュータ21は、抽出した9件に関するリスク対応画面850を表示する。 When the risk evaluation value is higher than the target value (in the case of “NO” in step S2-1), the management computer 21 extracts items for which risk handling is to be set (step S2-3). This is performed by the user selecting the risk handling setting button 651 on the evaluation screen 600. When the risk handling setting button 651 is selected, the management computer 21 extracts the cases of the contents of the vulnerabilities excluding the cases where the degree of management is “not subject to evaluation” in step S1-5. To do. For example, when the management degree is set for 21 cases and there are 12 cases that are “not subject to evaluation”, the remaining 9 cases are extracted. And the management computer 21 displays the risk corresponding | compatible screen 850 about the extracted matter, as shown in FIG. Specifically, the management computer 21 displays a risk handling screen 850 regarding the nine extracted cases.

このリスク対応画面850には、資産の総称、資産分類、重要度、脅威の評価、脅威内容、脆弱性内容、優先順位度、管理度、リスク評価値及び目標値に関するデータを含む。また、リスク対応画面850には、リスク対応選択プルダウンメニュー及びOKボタンが含まれる。リスク対応選択プルダウンメニューには「受容」、「低減」、「検討」、「回避」及び「移転」の項目が含まれる。   The risk response screen 850 includes data on asset generic name, asset classification, importance, threat evaluation, threat content, vulnerability content, priority level, management level, risk evaluation value, and target value. The risk handling screen 850 includes a risk handling selection pull-down menu and an OK button. The risk response selection pull-down menu includes items of “acceptance”, “reduction”, “consideration”, “avoidance”, and “transfer”.

ここで、「受容」は、評価者がリスクを容認することである。「低減」はリスクを低減させることである。「検討」は保留をすることである。「回避」は事業を中止することである。「移転」は業務を他社に代行させることである。   Here, “acceptance” means that the evaluator accepts the risk. “Reduce” means to reduce the risk. “Review” is to hold. “Avoidance” means to suspend the business. “Relocation” means to transfer the business to another company.

ここでは、「低減」に、ほとんどのリスクが対応すると考えられるので、利用者は、各リスク対応画面850において、リスク対応として「低減」を選択する。
そして、すべての件(ここでは9件)について、リスク対応の項目が選択されると、利用者によりOKボタンが選択される。これにより、管理コンピュータ21は、リスク対応を記録する(ステップS2−4)。また、管理コンピュータ21は、リスク対応を行う項目(脆弱性の内容)を残留リスクとしてリスク管理データ記憶部26に記録する。 Here, since most risks are considered to correspond to “reduction”, the user selects “reduction” as a risk response on each risk response screen 850.
Then, for all cases (9 cases in this case), when the risk handling items are selected, the user selects the OK button. Thereby, the management computer 21 records the risk response (step S2-4). In addition, the management computer 21 records an item (contents of vulnerability) for risk handling as a residual risk in the risk management data storage unit 26.

次に、管理コンピュータ21は、リスク対応を行う項目に対する管理策をリスク分析表データ記憶部24から取得する(ステップS2−4)。そして、管理コンピュータ21は、図15に示すように、取得した管理策に関するデータを表示する。これは、利用者が、管理策取得ボタン661を選択することにより行われる。例えば、図2に示すように「メンテナンスの不備」に対して、リスク対応の「低減」を行う場合には、これに対応する管理策「7−2−4」を取得する。ここで、管理策「7−2−4」は、ISMS規格に対応した規格番号を意味する。このようにして、管理コンピュータは、リスク対応の「低減」を行うとしたリスクの内容に対応する管理策をすべて取得し、これら管理策に関する情報を評価画面600の管理策の項目660に表示する。
以上により情報資産のリスク評価が完了する。 Next, the management computer 21 acquires a management measure for the item to be risk-treated from the risk analysis table data storage unit 24 (step S2-4). And the management computer 21 displays the data regarding the acquired management policy, as shown in FIG. This is performed by the user selecting the management measure acquisition button 661. For example, as shown in FIG. 2, in the case of “reducing” a risk response to “insufficient maintenance”, a management measure “7-2-4” corresponding to this is acquired. Here, the management measure “7-2-4” means a standard number corresponding to the ISMS standard. In this way, the management computer acquires all the management measures corresponding to the content of the risk for which the risk response is “reduced”, and displays information on these management measures in the management measure item 660 of the evaluation screen 600. .
This completes the risk assessment of information assets.

本実施形態によれば、以下のような効果を得ることができる。
・本実施形態では、管理コンピュータ21は、登録処理(ステップS1−1)を行った情報資産の登録内容を表示する内容表示画面500に関連付けして評価画面600を表示する。この評価画面600の重要度算定ボタン611が選択されると、管理コンピュータ21は、情報資産に関する重要度を設定し(ステップS1−2)、分類取得ボタン621が選択されると資産分類コードを付与する(ステップS1−3)。また、管理コンピュータ21は、評価画面600の脆弱性評価ボタン631から管理度を設定する管理度設定画面800を表示し、管理度を設定する(ステップS1−5)と、リスク評価値を算出する(ステップS1−6)。従って、管理コンピュータは、評価画面600において、リスク評価値を算出する重要度、脅威及び管理度のパラメータの設定を行い、リスク評価を行うことができる。従って、リスク評価を効率よく行うことができる。 According to this embodiment, the following effects can be obtained.
In this embodiment, the management computer 21 displays the evaluation screen 600 in association with the content display screen 500 that displays the registration content of the information asset that has undergone the registration process (step S1-1). When the importance calculation button 611 on the evaluation screen 600 is selected, the management computer 21 sets the importance related to information assets (step S1-2), and when the classification acquisition button 621 is selected, an asset classification code is assigned. (Step S1-3). The management computer 21 displays a management level setting screen 800 for setting the management level from the vulnerability evaluation button 631 on the evaluation screen 600, and sets the management level (step S1-5), and calculates a risk evaluation value. (Step S1-6). Therefore, the management computer can perform risk evaluation by setting the importance, threat, and management parameters for calculating the risk evaluation value on the evaluation screen 600. Therefore, risk assessment can be performed efficiently.

・本実施形態では、リスク評価値の算出及びこれに用いる重要度などの設定などを行う評価画面600は、情報資産台帳として、その情報資産の内容を登録した内容表示画面500とともに表示可能となっている。従って、内容表示画面500において、情報資産の内容を登録して、すぐに評価画面600を表示させて、重要度などの設定、リスク評価値
の算出、リスク対応及び管理策の取得を行うことができる。 In this embodiment, the evaluation screen 600 for calculating the risk evaluation value and setting the importance used for the risk evaluation value can be displayed together with the content display screen 500 in which the information asset contents are registered as an information asset ledger. ing. Accordingly, the contents of the information asset are registered on the contents display screen 500, and the evaluation screen 600 is immediately displayed to set the importance level, calculate the risk evaluation value, deal with the risk, and acquire the control measures. it can.

・本実施形態では、管理コンピュータ21は、内容表示画面500においてパラメータの1つである重要度が入力された後、評価画面600の重要度算定ボタン611が選択されると、重要度の設定及び変更を行う。このため、評価画面600において、重要度の設定及び変更を行うことができるので、効率的にリスク評価を行うことができる。   In the present embodiment, the management computer 21 sets the importance level when the importance level calculation button 611 on the evaluation screen 600 is selected after the importance level that is one of the parameters is input on the content display screen 500. Make a change. For this reason, since the importance can be set and changed on the evaluation screen 600, the risk evaluation can be performed efficiently.

・本実施形態では、管理コンピュータ21は、リスク評価値を算出するパラメータの1つである脅威は、情報資産の保管媒体の種類に基づいて、リスク分析表データ記憶部24から取得する。このため、情報資産の種類に応じた脅威を、リスク分析表データ記憶部24から抽出するので、情報資産の種類から発生する可能性のあるすべての脅威を考慮してリスク評価をすることができる。従って、リスク評価をより的確に行うことができる。   In the present embodiment, the management computer 21 acquires the threat, which is one of the parameters for calculating the risk evaluation value, from the risk analysis table data storage unit 24 based on the type of information asset storage medium. For this reason, since the threat according to the type of information asset is extracted from the risk analysis table data storage unit 24, it is possible to evaluate the risk in consideration of all threats that may occur from the type of information asset. . Therefore, risk assessment can be performed more accurately.

・本実施形態では、管理コンピュータ21は、情報資産の種類を、分類一覧画面700に表示する。このため、管理コンピュータ21は、分類一覧画面700から情報資産の種類が利用者によって選択されることにより、情報資産の種類に応じた脅威を迅速に特定することができる。   In the present embodiment, the management computer 21 displays the type of information asset on the classification list screen 700. For this reason, the management computer 21 can quickly identify a threat corresponding to the type of information asset by selecting the type of information asset from the classification list screen 700 by the user.

・本実施形態では、管理コンピュータ21は、評価画面600の脆弱性評価ボタン631が選択されることにより、管理度設定画面800を表示する。そして、管理コンピュータ21は、管理度設定画面800において脅威の各項目についての管理度を設定する。このため、管理コンピュータ21は、評価画面600から容易に管理度を設定することができるので、効率的にリスク評価を行うことができる。   In the present embodiment, the management computer 21 displays the management degree setting screen 800 when the vulnerability evaluation button 631 on the evaluation screen 600 is selected. Then, the management computer 21 sets the management level for each item of threat on the management level setting screen 800. For this reason, since the management computer 21 can easily set the management degree from the evaluation screen 600, the risk evaluation can be performed efficiently.

・本実施形態では、管理コンピュータ21は、リスク評価値が目標値よりも高い場合(ステップS2−1において「YES」の場合)に、評価画面600のリスク対応設定ボタン651が選択されると、リスク対応の項目を抽出し(ステップS2−3)、リスク対応画面850を表示する。そして、利用者により表示されたリスク対応画面850を介してリスク対応が入力されると、管理コンピュータ21は、入力されたリスク対応を記録する(ステップS2−4)。従って、利用者は、パラメータを設定した評価画面600から容易にリスク対応をも入力することができるので、リスク対応の記録を効率よく行うことができる。   In the present embodiment, when the risk evaluation value is higher than the target value (when “YES” in step S2-1), the management computer 21 selects the risk handling setting button 651 on the evaluation screen 600. A risk handling item is extracted (step S2-3), and a risk handling screen 850 is displayed. When the risk response is input via the risk response screen 850 displayed by the user, the management computer 21 records the input risk response (step S2-4). Therefore, the user can easily input the risk countermeasure from the evaluation screen 600 in which the parameters are set, so that the risk countermeasure can be efficiently recorded.

・本実施形態では、管理コンピュータ21は、リスク対応画面850のプルダウンメニューによってリスク対応を選択入力可能とする。このため、リスク対応を容易に設定することができる。   In the present embodiment, the management computer 21 can select and input risk countermeasures using a pull-down menu on the risk countermeasure screen 850. For this reason, risk handling can be set easily.

・本実施形態では、管理コンピュータ21は、リスク対応を記録した(ステップS2−4)後に、評価画面600の管理策取得ボタン661が選択されると、リスク対応の項目に対応する管理策に関するデータを取得し(ステップS2−5)、評価画面600に表示する。従って、情報資産のリスク評価値を算出するパラメータの設定、リスク評価値の算出、リスク対応及び管理策の取得を、評価画面600において行うことができる。このため、効率的にリスク管理を行うことができる。   In the present embodiment, when the management computer 21 records the risk response (step S2-4) and then selects the management policy acquisition button 661 on the evaluation screen 600, the management computer 21 stores data regarding the management policy corresponding to the risk response item. (Step S2-5) and displayed on the evaluation screen 600. Accordingly, the setting of parameters for calculating the risk evaluation value of the information asset, the calculation of the risk evaluation value, the risk handling, and the acquisition of the management measures can be performed on the evaluation screen 600. For this reason, risk management can be performed efficiently.

なお、上記実施形態は以下のように変更してもよい。
○上記実施形態においては、評価画面600には、重要度算定ボタン611、分類取得ボタン621、脅威評価ボタン622、脆弱性評価ボタン631、リスク対応設定ボタン651及び管理策取得ボタン661が含まれている。これに代えて、リスク対応に関するリスク対応設定ボタン651及び管理策に関する管理策取得ボタン661を、評価画面600とは異なるが、内容表示画面500及び評価画面600とともに表示できる画面中の
ボタンとして表示してもよい。この場合には、リスク対応設定ボタン651及び管理策取得ボタン661を含む画面を、内容表示画面500及び評価画面600と同様に、表示するようにしてもよい。 In addition, you may change the said embodiment as follows.
In the above embodiment, the evaluation screen 600 includes an importance calculation button 611, a classification acquisition button 621, a threat evaluation button 622, a vulnerability evaluation button 631, a risk response setting button 651, and a management measure acquisition button 661. Yes. Instead of this, the risk response setting button 651 for risk response and the management measure acquisition button 661 for management measures are displayed as buttons in the screen that can be displayed together with the content display screen 500 and the evaluation screen 600, although they are different from the evaluation screen 600. May be. In this case, a screen including the risk handling setting button 651 and the management measure acquisition button 661 may be displayed in the same manner as the content display screen 500 and the evaluation screen 600.

○上記実施形態においては、管理コンピュータ21は、重要度、脅威及び管理度のパラメータに基づいてリスク評価値を算出した。リスク評価値は、これらに限らず、例えば、お客様との契約、法令・規則などからの重要度などを含んで算出してもよいし、他のパラメータを用いて算出してもよい。   In the above embodiment, the management computer 21 calculates the risk evaluation value based on the importance, threat, and management parameters. The risk evaluation value is not limited to these, and may be calculated including, for example, the degree of importance from contracts with customers, laws and regulations, or may be calculated using other parameters.

○上記実施形態においては、管理コンピュータ21は、情報資産についてリスク評価を行ってリスク管理をした。リスク管理を行う資産はこれに限られず、例えば、施設に関する資産などであってもよい。   In the above embodiment, the management computer 21 performs risk management by performing risk assessment on information assets. Assets for risk management are not limited to this, and may be, for example, assets related to facilities.

○上記実施形態においては、管理コンピュータ21は、分類取得ボタン621が選択されることにより分類一覧画面700を表示させた。そして、管理コンピュータ21は、分類一覧画面700から選択された情報資産の分類に基づいて、リスク評価値を算出するパラメータである脅威の内容を抽出した。これに代えて、管理コンピュータ21は、リスク評価値を算出するパラメータである脅威の内容についてのデータを、利用者から直接入力を受けることにより取得してもよい。この場合、リスク管理をする個々の企業に独自の脅威がある場合には、これを考慮してリスク評価を行うことができる。   In the above embodiment, the management computer 21 displays the classification list screen 700 when the classification acquisition button 621 is selected. Then, the management computer 21 extracts the content of the threat, which is a parameter for calculating the risk evaluation value, based on the classification of the information asset selected from the classification list screen 700. Instead of this, the management computer 21 may acquire data on threat content, which is a parameter for calculating a risk evaluation value, by receiving a direct input from a user. In this case, if each company that manages risk has its own threat, risk assessment can be performed in consideration of this.

実施形態におけるシステムの概略図。1 is a schematic diagram of a system in an embodiment. リスク分析表データ記憶部に記録されたデータの説明図。Explanatory drawing of the data recorded on the risk analysis table data storage part. リスク評価処理の前半の処理手順を説明するための流れ図。The flowchart for demonstrating the process sequence of the first half of a risk evaluation process. リスク評価処理の後半の処理手順を説明するための流れ図。The flowchart for demonstrating the process sequence of the second half of a risk evaluation process. 登録処理における内容表示画面の説明図。Explanatory drawing of the content display screen in a registration process. 評価画面の説明図。Explanatory drawing of an evaluation screen. 評価画面における重要度に関する項目の説明図。Explanatory drawing of the item regarding the importance in an evaluation screen. 分類一覧画面の説明図。Explanatory drawing of a classification list screen. 評価画面における脅威評価及び脆弱性評価に関する項目の説明図。Explanatory drawing of the item regarding threat evaluation and vulnerability evaluation in an evaluation screen. 優先順位度を算出するための表の説明図。Explanatory drawing of the table | surface for calculating a priority level. 管理度設定画面の説明図。Explanatory drawing of a management degree setting screen. リスク評価値を算出するためのリスク算定マトリックスの説明図。Explanatory drawing of the risk calculation matrix for calculating a risk evaluation value. 評価画面における脆弱性評価及びリスク評価に関する項目の説明図。Explanatory drawing of the item regarding vulnerability evaluation and risk evaluation in an evaluation screen. リスク対応画面の説明図。Explanatory drawing of a risk response screen. 評価画面におけるリスク評価及び管理策に関する項目の説明図。Explanatory drawing of the item regarding risk evaluation and a management policy in an evaluation screen.

符号の説明Explanation of symbols

21…管理コンピュータ、24…分析表データ記憶部及び分類データ記憶部としてのリスク分析表データ記憶部、600…リスク評価画面としての評価画面。   21 ... management computer, 24 ... risk analysis table data storage unit as analysis table data storage unit and classification data storage unit, 600 ... evaluation screen as risk evaluation screen.

Claims (10)

資産のリスク評価を行う管理コンピュータを用いて、リスク管理を支援する方法であって、
前記管理コンピュータは、
前記資産に関するデータを登録する登録画面からリスク評価画面を表示する表示段階と、
前記リスク評価画面の表示項目が選択されることによって、リスク評価値を算出するためのパラメータを設定するパラメータ設定段階と、
前記リスク評価画面の表示項目の選択によって、前記パラメータに基づくリスク評価値を算出するリスク評価段階と
を含むことを特徴とするリスク管理支援方法。 A method of supporting risk management using a management computer that performs asset risk assessment,
The management computer is
A display stage for displaying a risk assessment screen from a registration screen for registering data relating to the asset;
A parameter setting step for setting a parameter for calculating a risk evaluation value by selecting a display item of the risk evaluation screen;
A risk management support method comprising: a risk evaluation step of calculating a risk evaluation value based on the parameter by selecting a display item on the risk evaluation screen. 前記管理コンピュータは、リスクに対する対応を促すか否かを判断するための受容基準値を記録した受容基準値記憶部に接続されており、
前記管理コンピュータが、前記リスク評価段階で算出したリスク評価値が、前記受容基準値以上のリスクの内容を前記リスク評価画面に表示させて、この表示させたリスクに対する対応を促す対応促進段階を更に含むことを特徴とする請求項1に記載のリスク管理支援方法。 The management computer is connected to an acceptance standard value storage unit that records an acceptance standard value for determining whether or not to promote a response to a risk,
The management computer displays a risk content whose risk evaluation value calculated in the risk evaluation step is equal to or higher than the acceptance standard value on the risk evaluation screen, and further includes a response promotion step that prompts a response to the displayed risk. The risk management support method according to claim 1, further comprising: 前記管理コンピュータは、前記資産のリスクと、これに対応する管理策に関するデータとを記録した分析表データ記憶部を有し、
前記管理コンピュータが、対応を行うリスクに対する管理策を、前記分析表データ記憶部から取得して、前記リスク評価画面に提示する管理策提示段階を含むことを特徴とする請求項2に記載のリスク管理支援方法。 The management computer has an analysis table data storage unit that records the risk of the asset and data related to the management policy corresponding thereto,
The risk according to claim 2, further comprising: a management measure presenting step in which the management computer acquires a management measure for the risk to be dealt with from the analysis table data storage unit and presents it on the risk evaluation screen. Management support method. 前記資産の分類と、この分類に対応する前記リスクの内容を関連付けして記録した分類データ記憶部を有し、
前記パラメータ設定段階は、前記管理コンピュータが、前記資産の分類に関するデータに基づいて前記分類データ記憶部から前記資産のリスクの内容を取得する分類リスク取得段階を含み、
前記リスク評価段階は、前記分類リスク取得段階において取得したリスクの内容に対するリスク評価値を算出することを特徴とする請求項1〜3のいずれか1つに記載のリスク管理支援方法。 A classification data storage unit that records the classification of the asset and the content of the risk corresponding to the classification;
The parameter setting step includes a classification risk acquisition step in which the management computer acquires a risk content of the asset from the classification data storage unit based on data related to the asset classification,
The risk management support method according to any one of claims 1 to 3, wherein the risk evaluation stage calculates a risk evaluation value for the content of the risk acquired in the classification risk acquisition stage. 前記資産は、情報資産であり、
前記管理コンピュータは、分類リスク取得段階における分類を、前記情報資産の資産属性及び取扱属性に基づいて決定する分類決定段階を更に備えたことを特徴とする請求項4に記載のリスク管理支援方法。 The asset is an information asset;
The risk management support method according to claim 4, wherein the management computer further includes a classification determination step of determining a classification in the classification risk acquisition step based on an asset attribute and a handling attribute of the information asset. 資産のリスク評価を行う管理コンピュータを用いて、リスク管理を支援するプログラムであって、
前記管理コンピュータを、
前記資産に関するデータを登録する登録画面からリスク評価画面を表示する表示手段、
前記リスク評価画面の表示項目が選択されることによって、リスク評価値を算出するためのパラメータを設定するパラメータ設定手段、及び
前記リスク評価画面の表示項目の選択によって、前記パラメータに基づくリスク評価値を算出するリスク評価手段
を含むことを特徴とするリスク管理支援プログラム。 A program that supports risk management using a management computer that performs asset risk assessment,
The management computer,
Display means for displaying a risk assessment screen from a registration screen for registering data relating to the asset;
By selecting a display item on the risk assessment screen, parameter setting means for setting a parameter for calculating a risk assessment value, and by selecting a display item on the risk assessment screen, a risk assessment value based on the parameter is obtained. A risk management support program comprising a risk evaluation means for calculating. 前記管理コンピュータは、リスクに対する対応を促すか否かを判断するための受容基準値を記録した受容基準値記憶部に接続されており、
前記管理コンピュータが、前記リスク評価手段で算出したリスク評価値が、前記受容基準値以上のリスクの内容を前記リスク評価画面に表示させて、この表示させたリスクに対する対応を促す対応促進手段を更に含むことを特徴とする請求項6に記載のリスク管理支援プログラム。 The management computer is connected to an acceptance standard value storage unit that records an acceptance standard value for determining whether or not to promote a response to a risk,
Response management means for causing the management computer to display on the risk evaluation screen the contents of the risk whose risk evaluation value calculated by the risk evaluation means is equal to or higher than the acceptance standard value, and to promote the response to the displayed risk. The risk management support program according to claim 6, further comprising: 前記管理コンピュータは、前記資産のリスクと、これに対応する管理策に関するデータとを記録した分析表データ記憶部を有し、
前記管理コンピュータが、対応を行うリスクに対する管理策を、前記分析表データ記憶部から取得して、前記リスク評価画面に提示する管理策提示手段を含むことを特徴とする請求項7に記載のリスク管理支援プログラム。 The management computer has an analysis table data storage unit that records the risk of the asset and data related to the management policy corresponding thereto,
8. The risk according to claim 7, further comprising: a management measure presenting unit that obtains a management measure for the risk to be dealt with from the analysis table data storage unit and presents it on the risk evaluation screen. Management support program. 前記資産の分類と、この分類に対応する前記リスクの内容を関連付けして記録した分類データ記憶部を有し、
前記パラメータ設定手段は、前記管理コンピュータが、前記資産の分類に関するデータに基づいて前記分類データ記憶部から前記資産のリスクの内容を取得する分類リスク取得手段を含み、
前記リスク評価手段は、前記分類リスク取得手段において取得したリスクの内容に対するリスク評価値を算出することを特徴とする請求項6〜8のいずれか1つに記載のリスク管理支援プログラム。 A classification data storage unit that records the classification of the asset and the content of the risk corresponding to the classification;
The parameter setting means includes a classification risk acquisition means for the management computer to acquire a risk content of the asset from the classification data storage unit based on data relating to the asset classification,
The risk management support program according to any one of claims 6 to 8, wherein the risk evaluation unit calculates a risk evaluation value for the content of the risk acquired by the classification risk acquisition unit. 前記資産は、情報資産であり、
前記管理コンピュータは、分類リスク取得手段における分類を、前記情報資産の資産属性及び取扱属性に基づいて決定する分類決定手段を更に備えたことを特徴とする請求項9に記載のリスク管理支援方法。 The asset is an information asset;
The risk management support method according to claim 9, wherein the management computer further includes a classification determination unit that determines a classification in the classification risk acquisition unit based on an asset attribute and a handling attribute of the information asset.
JP2004022036A 2004-01-29 2004-01-29 Risk management support method and risk management support program Pending JP2005216003A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2004022036A JP2005216003A (en) 2004-01-29 2004-01-29 Risk management support method and risk management support program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2004022036A JP2005216003A (en) 2004-01-29 2004-01-29 Risk management support method and risk management support program

Publications (1)

Publication Number Publication Date
JP2005216003A true JP2005216003A (en) 2005-08-11

Family

ID=34905496

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2004022036A Pending JP2005216003A (en) 2004-01-29 2004-01-29 Risk management support method and risk management support program

Country Status (1)

Country Link
JP (1) JP2005216003A (en)

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008015953A (en) * 2006-07-10 2008-01-24 Hitachi Software Eng Co Ltd Automatic sorting system for information asset
JP2008129648A (en) * 2006-11-16 2008-06-05 Nec Corp Security risk management system, method and program
WO2008103764A1 (en) * 2007-02-20 2008-08-28 Microsoft Corporation Risk-based vulnerability assessment, remediation and network access protection
JP2009104344A (en) * 2007-10-22 2009-05-14 Ricoh Co Ltd Information input system
JP2009104478A (en) * 2007-10-24 2009-05-14 Ricoh Co Ltd Information asset risk degree evaluation system
JP2009230278A (en) * 2008-03-19 2009-10-08 Toshiba Corp Threat analysis support apparatus and threat analysis support processing program
JP2009230279A (en) * 2008-03-19 2009-10-08 Toshiba Corp Information processor and information processing program
JP2010198194A (en) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd Security management support system
JP2010231600A (en) * 2009-03-27 2010-10-14 Toshiba Corp Business quality management device and business quality management processing program
JP2012511768A (en) * 2008-12-12 2012-05-24 パーク・ウォンイル Movable property management system using automatic recognition data collection technology and its operation method
JP2012133584A (en) * 2010-12-21 2012-07-12 Canon It Solutions Inc Information processor, information asset management system, information asset management method and program
CN104050519A (en) * 2014-07-08 2014-09-17 国家电网公司 Safety risk prediction method and system for grid scheduling staff
JP2016218964A (en) * 2015-05-26 2016-12-22 日本電信電話株式会社 Threat analysis support method, threat analysis support device, and threat analysis support program
JP2017173940A (en) * 2016-03-22 2017-09-28 株式会社日立製作所 Security coping server and system
JP6279117B1 (en) * 2017-03-01 2018-02-14 ミツエ 福永 Conversion system between work evaluation information and risk management information
WO2019142738A1 (en) * 2018-01-16 2019-07-25 株式会社福永事務所 System for conversion from contribution degree evaluation information to risk management information or from risk management information to contribution degree evaluation information

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2008015953A (en) * 2006-07-10 2008-01-24 Hitachi Software Eng Co Ltd Automatic sorting system for information asset
JP2008129648A (en) * 2006-11-16 2008-06-05 Nec Corp Security risk management system, method and program
WO2008103764A1 (en) * 2007-02-20 2008-08-28 Microsoft Corporation Risk-based vulnerability assessment, remediation and network access protection
JP2009104344A (en) * 2007-10-22 2009-05-14 Ricoh Co Ltd Information input system
JP2009104478A (en) * 2007-10-24 2009-05-14 Ricoh Co Ltd Information asset risk degree evaluation system
JP2009230278A (en) * 2008-03-19 2009-10-08 Toshiba Corp Threat analysis support apparatus and threat analysis support processing program
JP2009230279A (en) * 2008-03-19 2009-10-08 Toshiba Corp Information processor and information processing program
JP4620138B2 (en) * 2008-03-19 2011-01-26 株式会社東芝 Threat analysis support device and threat analysis support processing program
JP2012511768A (en) * 2008-12-12 2012-05-24 パーク・ウォンイル Movable property management system using automatic recognition data collection technology and its operation method
JP2010198194A (en) * 2009-02-24 2010-09-09 Nomura Research Institute Ltd Security management support system
JP2010231600A (en) * 2009-03-27 2010-10-14 Toshiba Corp Business quality management device and business quality management processing program
JP2012133584A (en) * 2010-12-21 2012-07-12 Canon It Solutions Inc Information processor, information asset management system, information asset management method and program
CN104050519A (en) * 2014-07-08 2014-09-17 国家电网公司 Safety risk prediction method and system for grid scheduling staff
JP2016218964A (en) * 2015-05-26 2016-12-22 日本電信電話株式会社 Threat analysis support method, threat analysis support device, and threat analysis support program
JP2017173940A (en) * 2016-03-22 2017-09-28 株式会社日立製作所 Security coping server and system
JP6279117B1 (en) * 2017-03-01 2018-02-14 ミツエ 福永 Conversion system between work evaluation information and risk management information
WO2018159508A1 (en) * 2017-03-01 2018-09-07 株式会社福永事務所 System for converting between performance revaluation information and risk management information
JP2018147043A (en) * 2017-03-01 2018-09-20 ミツエ 福永 Conversion system between job performance evaluation information and risk management information
WO2019142738A1 (en) * 2018-01-16 2019-07-25 株式会社福永事務所 System for conversion from contribution degree evaluation information to risk management information or from risk management information to contribution degree evaluation information

Similar Documents

Publication Publication Date Title
US11757938B2 (en) Method, apparatus, and computer-readable medium for data protection simulation and optimization in a computer network
US11188860B2 (en) Injury risk factor identification, prediction, and mitigation
JP5405921B2 (en) Task management system and security management support system
US8060532B2 (en) Determining suitability of entity to provide products or services based on factors of acquisition context
JP2005216003A (en) Risk management support method and risk management support program
AU2020257057A1 (en) Methods and apparatus for the analyzing, manipulating, formatting, templating, styling and/or publishing of data collected from a plurality of sources
US10318908B2 (en) Prioritizing client accounts
US20090241165A1 (en) Compliance policy management systems and methods
US20120272326A1 (en) Tokenization system
US20160125345A1 (en) Systems, devices, and methods for determining an operational health score
AU2020243577B2 (en) Distributed logbook for anomaly monitoring
US20080133424A1 (en) System and method for negotiating a contract
Chebii Determinants of successful implementation of E-procurement in public institutions in Kenya
JP4034284B2 (en) Company diagnostic report generator
JP2004086583A (en) Expert recommendation system and its device
Chen et al. Return merchandize authorization stakeholders and customer requirements management—high-technology products
Benson et al. Business information management
Pilipchuk et al. Automatically Extracting Business Level Access Control Requirements from BPMN Models to Align RBAC Policies.
US20190026661A1 (en) Method, apparatus, and computer-readable medium for artifact tracking
JP7473900B2 (en) FORMAT CREATION DEVICE, FORMAT CREATION METHOD, AND FORMAT CREATION PROGRAM
KR102360917B1 (en) Systems and methods for maximizing budget utilization through management of limited resources in an online environment
JP2004005702A (en) System and method for analyzing risk, system and method for designing insurance, insurance agreement generating method, risk analyzing program operated on computer and recording medium recording insurance design program or insurance agreement generating program
CN107644298A (en) A kind of method, apparatus of data processing, storage device and terminal device
JP2005293267A (en) Information security management supporting system and program
Yee Visualization of privacy risks in software systems