|
ISO27001(ISMS)認証取得の難所「リスクアセスメント」の
実作業
を強力にサポート!
|
|
「TRIANGLE27001 Enterprise」はお客様自らが
容易にリスクアセスメントしていただける史上初のパッケージソフトです。
リスクアセスメント作業で一番
大きな障害となる「情報資産の洗い出し」及び「リスクアセスメントの実施・集約」を強力にサポートします。
|
▼「TRIANGLE 27001 Enterprise」で実現できること
・情報資産の洗い出し漏れが最小限に抑えられます。仮に漏れがあった場合でも、
後から情報資産一覧に容易に追加することができます。
・リスクのチェック漏れ(脅威・脆弱性の特定漏れ)がなくなります。
・情報資産の種別により最適なリスク分析アプローチ方法が選択されます。
・帳票間の整合性がとれます。
・誰が作業しても質が均一化され、作業担当者によるバラつきがなくなります。
・脅威・脆弱性の特定や、情報資産のグルーピング、リスク値算出等が自動化されます。
・帳票間の整合性を容易にとることができます。
・各部門への協力依頼や進捗管理がシンプルで簡単になります。
・次回以降のリスクアセスメントが簡単になります。
・プライバシーマークなど別の規格と同時にリスクアセスメントができます。
・情報資産の洗い出しから適用宣言書作成まで、機械的な作業が全て自動化されます。
・各工程の精度が向上することで、手戻りが少なくなり全体の期間が短縮されます。
・リスクアセスメントの結果は再利用可能なので、次回以降は新規追加になった
情報資産やリスクのみアセスメントすることで期間短縮が図れます。
▼「TRIANGLE 27001 Enterprise」の特徴
TRIANGLE 27001 EnterpriseはISO27001(ISMS)を既に取得されている
企業様からいただいた、 実際のお悩みを解決できる有用な機能を実装し、
実用性の高いパッケージソフトとなっております。
|
情報資産の取り扱いプロセスを業務フローを用いて視覚的に捉えることができるため、情報資産の洗い出し漏れや作業工数を大幅に低減できます。
なお、業務フローに現れない情報資産(ファシリティ関連など)については、一覧表から直接登録が可能です。また、既に情報資産台帳をお持ちの企業は、インポート機能による一括登録も可能となっています。(※1)
業務フローで管理することにより、情報資産の取り扱いプロセスの変更あるいは担当部署の変更などについても、基本的に業務フローを書き換えるだけで済み、担当者が代わっても業務フローがあるため、引継ぎが容易です。
さらには、個人情報保護、品質管理、内部統制、業務改善など、その他のアセスメントにも転用可能ですので、幅広いメリットがあります。
|
(※1)一括登録の際は、指定のフォーマットに加工していただく必要があります。
リスクアセスメントは、個別の情報資産ごとに実施すると膨大な量となり、また重複した作業も出てくるため、作業工数が非常に大きくなります。
本パッケージソフトでは、効率的にリスクアセスメントを実施できるよう、情報資産の特性に応じてグルーピングを自動で行い、その情報資産グループごとにリスクアセスメントを行うことができます。
情報資産のグルーピングは本パッケージソフトが自動で行いますが、状況に応じて特定の情報資産をグループから外したり、別のグループへ登録するなど、個別の調整が可能です。
|
本パッケージソフトでは、情報資産やその取り扱いプロセスの特性に応じてほとんどのリスクが自動的に抽出されるため、初心者でも容易にリスクアセスメントを実施することができます。
また、次回リスクアセスメントをする際は、前回の結果や対応策を再利用できます。従って、新規の情報資産や新たなリスクのみを対象にリスクアセスメントを行えば良いため、作業工数が大幅に低減します。
さらに、パッケージソフト内のマスタは入れ替えることができますので、最新版のマスタでリスクアセスメントを行うことで、新たな脅威、法制度や規格の変更(※2)などに的確に対応したリスクアセスメントが容易に可能となります。
(※2)本システムは、ISO27001の認証基準をベースとしています。
|
|
情報資産種別の特性に応じて最適な分析方法(リスク分析アプローチ方法)が自動的に選択されるため、作業者による結果のバラつきがなくなり、的確で効率的なリスクアセスメントが可能となります。
|
|
No
|
リスク分析
アプローチ方法
|
説 明
|
情報資産種別
|
|
1
|
ライフサイクル特定型
詳細分析アプローチ
|
情報資産の重要度をCIAに分け設定します。システムが自動特定したライフサイクル毎の脅威に従ったチェック項目に回答することにより、リスク値が算出されます。さらに、リスク値の範囲に従って、ABCに分けた危険度が自動的に算出されます。
|
紙媒体
電子媒体
リムーバブル・メディア
DB
|
|
2
|
ライフサイクル非特定型
詳細分析アプローチ
|
情報資産の重要度をCIAに分け設定します。システムが自動特定した脅威に関するチェック項目に回答することにより、リスク値が算出されます。
さらに、リスク値の範囲に従って、ABCに分けた危険度が自動的に算出されます。
|
サーバ
ネットワーク
クライアントPC
|
|
3
|
ベースラインアプローチ
|
重要度を入力しても余り意味をなさない情報資産に適用されるアプローチ方法です。ユーザが、システムが自動特定したチェック項目に回答することにより、危険度が自動算出されます。
|
リモートアクセス
業務システム
ECシステム
建物
オフィス
会議室
サーバルーム
倉庫
外部委託業者
|
|
4
|
非形式アプローチ
|
上記以外のその他の情報資産の分析を行いたい場合に使用される分析手法です。上記の分析手法とは異なり、ライフサイクルや脅威を自動特定したり、チェック項目が自動的に出力されたりはしません。
逆にユーザは、チェック項目や危険度を自由に設定することが可能です。
|
その他
|
|
5
|
フリー入力
|
フリー入力用に問題心配事、事故調査に分け、入力できます。また、危険度も合わせて入力可能です。
|
情報資産外
|
|
6
|
基本分析
|
情報資産とは直接関係しないチェック項目(組織や推進体制など)が自動的に出力されます。ユーザが、このチェック項目に回答することにより、基本的な事項への対応状況を確認することが出来ます。
|
情報資産外
|
|
各種資料間の整合性は、データベースによって連携されているため、目視確認などの作業工数が大幅に低減されます。また、前回のリスクアセスメント結果をコピーできるので、リスクアセスメントの振り返りやバージョン管理が容易です。
|
|
リスクアセスメントは、ネットワークにて共有できるため、統括管理する事務局の作業工数が大幅に軽減します。またアクセスする社員により権限管理ができ、アクセスログも管理することができます。
|
|
|
TRIANGLE 27001 Enterpriseではクライアント/サーバ方式を採用しており、ネットワークを介してリスクアセスメントの作業を社内共有することができます。
業務フロー・情報資産一覧の作成やチェックリストのアップロード・ダウンロードなどの作業を現場側でも行うことができるため、全国に拠点がある場合や大規模な組織などにおいて、事務局にかかる作業負荷を分散させることができます。
TRIANGLE 27001 Enterpriseを活用することにより、アセスメント管理者となる事務局では、プロジェクト全体の進行や、各現場の進捗確認などを管理画面にて集中管理することができます。
|
|
|
|
|
