資産管理での IT 資産の管理

組織が所有するすべての IT 資産には、さまざまなリスクや責任が伴います。IT リスクマネジメント (旧称 ITRMBond) ワークフローを使用すると、各資産に関する主要な情報を記録して、リスクの重要度、およびこれに関する資産の価値スコアを計算できます。これらのスコアを使用して、組織のリスクに優先順位を付け、それに応じてリスク軽減計画を作成することができます。

このソリューションには、IT リスクマネジメントのサブスクリプションが必要です。

追加が可能な資産の種類

IT リスクマネジメントで評価可能な資産のカテゴリには次の 4 つがあります。

  • ハードウェア 例: サーバー、ノートパソコン、携帯電話
  • ソフトウェア 例: オペレーティングシステム、アプリケーション
  • クラウド 例: バーチャルサーバー
  • 情報システム 単一システム内で影響し合う要素 (例: 給与計算ソフトウェア、データが格納されているサーバー、機密データそのもの)

これらの資産のワークフローは、すべてが同じものですが、資産のこれらさまざまなカテゴリには異なる種類の情報 (例: ハードウェアには場所が必要ですが、クラウド環境には場所は必要ありません) が必要であるため、各カテゴリでは、入力する必要のある属性が異なる場合があります。

これら上記の各資産を追加すれば、ワークフローは同じものになります。各資産は、登録、分類され、リスクの重要度について評価される必要があります。そこで、組織はこれらのリスクに優先順位を付け、これを軽減する最良の方法を決めることができます。

資産の詳細については、次を参照してください。 資産管理の概要

1. 資産管理に IT 資産を追加する

資産管理では、IT 資産を追跡し、各資産に関する重要な情報を記録できます。

シナリオ

あなたは、IT リスクプログラムマネージャーで、組織の新しい IT セキュリティおよびコンプライアンスプログラムを作成する任務を担っています。取り組む資産はたくさんありますが、リスクマネジメントのツールボックスである、組織のノート PC にある最も重要な資産の 1 つから始めることに決めました。

プロセス

ヘルプ トピック 資産管理での資産の扱い

資産管理アプリを開きます。[IT 資産 - ハードウェア]資産のタイプを選択し、[IT 資産 - ハードウェアを追加]をクリックし、ノート PC の名前を入力してこれを保存します。

結果

IT リスクマネジメントにより、資産管理にご利用のノート PC 資産が保存され、その資産に自動的にドラフトという進捗状況が割り当てられます。

2. 資産を登録する

資産のドラフトを作成したら、その他の情報を追加し、IT リスクマネジメントワークフローを通じてその資産を前進させます。資産を登録したら、それに関する重要な情報を入力し、そこでこれを承認すると、IT 資産管理に追加されます。

シナリオ

ご利用のノート PC 資産を追加したところで、あなたは、これに関する詳細な情報を入力し、そのリスク評価を始められるよう、その資産を登録することを望んでいます。

プロセス

詳細]タブで、名前、ビジネスの所有者、参照 ID、説明など、すべて資産の登録に必要とされる、ノート PC に関して持っている全情報を入力します。資産を保存し、ページの上にあるビジュアルワークフローで[登録]をクリックします。資産に必要なすべての詳細が入力されていることを確認したら、その進捗状況は登録済みになります。

結果

ノート PC は、必要なすべての情報を持っており、組織のアクティブな資産として登録されます。

3. 資産を分類する

資産管理に資産を追加し、登録が終わったので、これらの重要度を評価し、そのスコアを使用して分類することができます。単一の重要度レベルスコアを提供するか、または重要度が Diligent One で機密性影響度、完全性影響度、可用性影響度という 3 つのレベルに基づいて計算されるようにするかのいずれかを選択できます。

資産の分類には、アンケートを技術所有者またはビジネス所有者に送信して、回答に基づいて資産管理に自動的に資産を分類してもらう方法と、資産の重要度の情報がある場合に、自分でそのスコアを入力する方法の 2 つのオプションがあります。

シナリオ

ノート PC の重要度を自分自身で評価するには、それに関する以下の 3 つの事柄を知っておく必要があることを理解しています。

  • 機密性影響度レベル
  • 完全性影響度レベル
  • 可用性影響度レベル

あなたは、これらについてあるべきスコアが完全に分かっているわけではないため、ご利用のノート PC のビジネス所有者である同僚に、入力すべきアンケートを送ることにしました。

プロセス

ページの上のビジュアルワークフローで、[分類]、[重要度分析を開始]の順にクリックします。[アンケートの送信]パネルで、同僚の名前を入力し、アンケートを彼らに送信します。同僚が回答を入力したら、Diligent One によりアンケートのその回答が自動的に取り込まれます。リスクスコア(機密性、整合性、可用性)が計算され、[詳細]タブに入力されます。変更が表示されない場合は、ページを更新してください。

素早くチェックして、リスクの分類が正しく見えることを確認します。次に、ビジュアルワークフローで、[スコア]をクリックします。IT リスクマネジメントにより、重要度レベルが自動的に計算されます(詳細については、分類スコアの理解を参照してください)。変更が表示されない場合は、ページを更新してください。ビジュアル ワークフローで、[その他のオプション をクリックし、[承認]をクリックします。資産の進捗状況は分類済みになります。

結果

あなたは、ご利用のノート PC と関連付けられたリスクレベルを適格とし、Diligent One の自動処理を活用して、これに関連付けられたリスクに基づいてノート PC を分類しました。ここでは、組織が所有する他のすべての資産の中で、これらのリスクの改善に向け、計画と優先度のリストを作成することを想像する方がより簡単でしょう。

分類スコアの理解

アンケートの回答を使用し、資産の重要度を計算する場合、IT 資産の分類ロボットと CIA 重要度のスコアリングロボットの、2つのワークフローロボットが協働で、ご利用の資産にある重要度レベルを計算します。

メモ

回答の重み付けと影響度レベルの境界が設定可能であるため、このセクションの例は、ご利用の組織で見る計算と一致しない場合があります。詳細については、「ロボットにおける組織の計算の表示」を参照してください。

1. 分類スコアの計算

重要度評価の各質問は、機密性、完全性、または可用性のカテゴリのいずれかに属しており、機密性影響度、完全性影響度、または可能性影響度のレベルをそれぞれ計算するために使用されます。機密性カテゴリの質問への回答は、たとえば機密性影響度レベルの計算にのみ影響を及ぼし、完全性影響度レベルや可用性影響度のレベルには影響しません。

重要度評価のアンケートの各回答には、重み付けが割り当てられています。Professional ユーザーのサブスクリプションを有するシステム管理者は、IT 資産分類ワークフローロボットの各回答の重み付けをカスタマイズできます。

このロボットは、各質問に対して可能な限り高いスコアに基づきアンケートのスコアを計算します:

  • 単一の回答のみしかできない質問では、可能な限り高いスコアは、その質問に対して可能性のあるすべての回答の最高の重み付けになります。
  • 複数の回答が可能な質問では、可能な限り高いスコアは、その質問に対するすべての可能な回答のすべても重み付けの合計です。

あなたの同僚がこの質問に回答しています:どのようなタイプの情報またはデータが、この資産によって格納、処理、または伝達されますか?質問は複数の回答を受け入れます。

利用可能な回答とそのそれぞれの重み付けは次のとおりです:

回答 重み付け
従業員情報 (PII) 3
顧客情報 (PII) 3
財務情報 1
専有情報 1
IT インフラストラクチャ情報 - 機密 3
IT インフラストラクチャ情報 - 暗号化 1
これらのデータタイプのいずれも適用されない 0

同僚は、財務情報IT Iインフラストラクチャ情報 - 機密を選択します。

  • この質問のスコア合計は 4 ( 1 + 3 = 4 ) です。
  • この質問で可能な限り高いスコアは 12 ( 3 + 3 + 1 + 1 + 3 + 1 + 0 = 12 ) です。

この質問は機密性カテゴリであるため、この質問の回答の重み付けは、資産の機密性影響度レベルのみに加算されます。この重み付けは、完全性影響度レベルや可能性影響度レベルには影響しません。

2. 影響度レベルの割り当て

機密性影響度レベル、完全性影響度レベル、可用性影響度レベルのそれぞれに対し、IT リスクマネジメントは次のように最終的なアンケートのスコアを計算します: 分類スコア =(すべての回答の重み付けの合計 / すべての可能な限り高い質問のスコアの合計)* 100%。

次に、ワークフローロボットは、そのパーセントのスコアを取り込み、これを、組織に定義された影響度レベルの境界(ロボットでカスタマイズが可能)と比較します。パーセントスコアが入る範囲に相当する影響度レベルが、ご利用の資産に表示されます。

最後に、ビジュアルワークフローで[スコア]をクリックすると、CIA 重要度スコアリングワークフローロボットは、2つのメソッドのうちの1つを使用し、資産の総合重要度レベルを決定します:

  • 高基準値 総合重要度レベルとして、機密性影響度レベル、完全性影響度レベル、可用性影響度レベルの最高値を使用します。これはデフォルトのメソッドです。
  • 最頻値 機密性影響度レベル、完全性影響度レベル、可能性影響度レベルのうち最も高い頻度で発生する影響度レベルを、総合重要度レベルとして使用します。3つすべてのレベルが異なる場合、このメソッドは3つのレベルで最高値のものを使用します。

アンケート完了後:

  • 機密性の質問カテゴリで選択されている同僚に重み付けをする回答の合計は、7です。
  • 機密性カテゴリのすべての質問で可能な限り高いスコアの合計は、20です。

最終的な機密性アンケートのスコアは 35% ( ( 7 / 20 ) * 100 = 35 ) です。

組織における 20% ~ 40% のスコアには、重要度レベルが割り当てられます。そのため、が、その IT 資産の[機密性影響度レベル]フィールドに表示されます。ロボットはこのプロセスを繰り返し、各カテゴリに属する質問を使用して、資産の完全性影響度レベルと可用性影響度レベルを計算します。

ビジュアルワークフローで[スコア]をクリックすると、CIA 重要度スコアリングワークフローロボットが、資産に記録されている3つの影響度レベルを考察します:

  • 機密性影響度レベル
  • 完全性影響度レベル
  • 可用性影響度レベル

ロボットが高基準値メソッドを使用するように設定されており、3つのレベルの最高値が中であるため、資産の総合[重要度レベル]フィールドはと表示されます。

ロボットにおける組織の計算の表示

Professional ユーザーのサブスクリプションを持つシステム管理者は、これらの手順を使用して上述のスコアを計算するために、組織が使用する回答の重み付け、および影響度レベルの境界を表示できます。

  1. ロボット アプリを開きます。
  2. ロボットのダッシュボードから、[ワークフロー ロボット]を選択します。
  3. 表示するスクリプトが含まれるロボットに移動し、そのロボットを選択して開きます。
  4. ロボットの右上隅で、[開発]をクリックし、開発モードに切り替えます。
  5. スクリプトバージョン]タブで、表示したいスクリプトのバージョンを選択します。

  6. スクリプトを編集]をクリックします。

    結果 ロボット スクリプト エディターでスクリプトが開きます。詳細については、「ロボットでの Python および HCL スクリプト」を参照してください。

自分のカスタマイズ、またはニーズを満たす組織の計算のカスタマイズを含むロボットを見つけるための支援が必要な場合は、サポートまたは貴社の Diligent 担当者にお問い合わせください。

4. 資産を再評価する

資産の重要度を再評価する必要がある場合は、いつでも、このプロセス内で資産を逆に戻すことができます。

シナリオ

資産管理にノート PC を初めて追加した 1 年後、貴社がデータ漏洩のターゲットになっています。ハッカーは、貴社のファイアウォールをバイパスし、ノート PC 上の機密情報にアクセスすることができてしまいます。

このデータ漏洩は、ノート PC に関連するリスクをどのように評価するべきかについて、大きな変更が生じることが分かっています。貴社は、データ漏洩が発生した理由と、今後別の漏洩が発生しない方法を見つけることが極めて重要です。ノート PC について記録した既存の情報を詳しく調査し、ノート PC の新しいリスク軽減計画を作成できるように、その重要度スコアを上げる必要があります。

プロセス

ビジュアルワークフローで、[重要度の再評価]をクリックします。ノート PC の進捗状況が、再度分類の保留になります。

今回は、資産管理に初めてノート PC に関する情報を入力したときよりも多くの情報があります。2度アンケートを同僚に送信する代わりに、[詳細]タブに総合重要度レベルスコアを[重大]と入力することを決定し、[変更を保存]をクリックします。次に、[その他のオプション をクリックして、[承認]をクリックします。

結果

データ漏洩の後、ノート PC では、組織に直面する現在のリスクレベルが反映されるようになりました。

次の手順

資産の追加と評価が終わったら、これに関連するリスクを特定できます。次にこれらのリスクの軽減へと進みます。参照: リスク マネージャーを使用した IT リスクと統制の管理詳細をご覧ください。