リスクレベルを設定する際、発生可能性と影響度以外で、機密性・完全性・可用性を数値化する必要はないか? 2022年09月25日 02:20 更新 規格の要求事項の観点では、SecureNaviが提供する「リスクアセスメント・対応マニュアル」の記載の通り、発生可能性と影響度にてリスクレベルを決定していただけば問題はありません。 これは、JISQ27001規格の以下3つを根拠としています。「3要素喪失リスクを特定するために、発生可能性と影響度を評価するプロセス」と解釈でき、弊社も同様のプロセスを採用しています。 6.1.2.c.1 ...情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。 6.1.2.d.1 ...リスクが実際に生じた場合に起こりうる結果についてアセスメントを行う 6.1.2.d.2 ...リスクの現実的な起こりやすさについてアセスメントを行う