脅威アセスメントモデルは、考えられる脅威の特定と、それらの脅威を最小限に抑えるため、またはそれに対抗するために実装する手段に関する、組織の計画を表したものです。そのようなモデルは、それらの必要な点を説明するためにスプレッドシート、グラフ、フローチャート、図または他の多くの補助を使用するかもしれません。
目的
脅威アセスメントモデルの目的は、発生する前に可能性のある脅威を特定し、それらを防止するかまたはその影響を元に戻す方法を概説することを組織に提供することです。組織がますます大規模で複雑になるにつれて、直面するさまざまな種類の脅威が増加する可能性があります。組織がこれらの脅威を体系化して分析し、それらに対する対策を実行するために使用できる確立されたモデルを持つことが重要です。 。モデルを使用せずに脅威を最小化しようとすると、混乱しやすく、非効率的で、さらには逆効果にもなりかねません。
用途
脅威評価モデルは、顧客が小売業者に対して民事訴訟を起こす可能性がある安全上のリスクなど、責任の問題に関しては有用です。彼らはまた、特にクレジットカード番号、住所、社会保障番号などの情報を保存するときに、膨大な数のクライアントアカウント情報を扱う企業にとって非常に重要となり得る、コンピュータセキュリティのようなことを扱うかもしれません。考えられる脅威を書き留め、それらに対処する方法を考え出すことによって、組織は自分自身、自分の評判、自分のクライアント、および社会全般を保護することができます。
コアとなる問題
情報セキュリティトレーニングの情報源であるSANS Instituteに関するJames Bayneの「脅威とリスク評価の概要」によると、脅威評価モデルはいくつもの重要な問題を扱わなければなりません。まず、物理的資産や機密情報など、保護する必要があるものを特定する必要があります。次に、組織が直面しているすべての脅威と脆弱性を特定する必要があります。第三に、貴重な資産のいずれかが失われた場合に何が起こるかについての完全な意味を説明しなければなりません。第四に、組織がそのような脅威にさらされる危険性を最小限に抑える方法に関するいくつかの解決策を提供する必要があります。
脅威の分析
脅威アセスメントを実行する際には、組織が直面している脅威の性質と重大度を分析する必要があります。脅威を分類する上で最も重要な点は、脅威を人間または人間以外のものとして識別することです。たとえば、人間の脅威は、ハッカー、不機嫌そうな従業員、不適切に訓練された従業員、または泥棒です。人間以外の脅威は、自然災害または機器の故障です。脅威アセスメントモデルは、これらすべての脅威をリストし、その重大度を定量化するのに役立ちます。
