株式会社アイ・エス・レーティングは、世界初の情報セキュリティ格付専門会社です。

格付符号の付け方

格付審査の結果は、独立した格付委員会での審議を経て、符号の形で表されます。
それぞれの符号の定義は以下のように決まっています。
添え字の is は、Information Securityの頭文字を表します。
AAAis , Cis を除き AAis ~ Bis については+または-を含む3段階評価となるので、合計で17段階のランク付けとなります。

表の右側にある「要件」はどのような格付をつけるかの判断基準となるもので、要件1 はマネジメントの成熟度に関する要件、要件2 は対策の強度に関する要件です。コンプライアンスの視点は要件1・2それぞれに含まれます。この要件は、新たな脅威が生まれたり、それに対する有効な対抗策、対抗手段が出てきた場合など、必要に応じて変化することがあります。

符号 符号の定義 要件(定義の補足説明)
AAAis リスク耐性は極めて高く、多くの優れた要素がある
要件1
新たな脅威に迅速に対応し、常時、高水準の管理状態を維持、発展させている
要件2
常時、リスクをモニタリングし、即時に柔軟な対応ができる
AAis リスク耐性はかなり高く、優れた要素がある
要件1
継続的な改善プロセスを有し、高水準の管理状態を維持、発展させている
要件2
悪意のある内部者に対する管理策(発見的、抑止的、予防・防止的管理策)を織り込んでいる
Ais リスク耐性は高く、部分的に優れた要素がある
要件1
検証したプロセスを用いて、目標を指標化したうえで管理、実行している
要件2
悪意のある外部者に対する管理策(発見的、抑止的、予防・防止的管理策)を織り込んでいる
BBBis リスク耐性は十分であるが、将来環境が大きく変化する場合、新たな対策が必要である
要件1
明確に定義した手順書等に基づき、組織的に管理、実行している
要件2
一定の予防・防止的管理策(前もって防ぐこと)を織り込んでいる
BBis リスク耐性には注意すべき要素があり、将来環境が変化する場合、新たな対策が必要である
要件1
手順書等は整っていないが、一定水準の管理をしている
要件2
一定の抑止的管理策(行動を思いとどまらせること)および発見的管理策を織り込んでいる
Bis リスク耐性に問題があり、絶えず注意すべき要素がある
要件1
特定の人員に依存して、非公式な管理をしている
要件2
発見的管理策(事故の発生を発見できること)等の対策が不十分である
Cis リスクが顕在化する可能性が極めて高い
要件1
プロセスが確立しておらず、管理が不十分である
要件2
対策を講じておらず、絶えず脅威にさらされている

「格付の方向性」について

「格付の方向性」は、情報セキュリティ格付の中期的な方向性についてのアイ・エス・レーティングの意見です。
情報セキュリティ格付に関する見解をより明確な形で示すため、原則としてすべての格付に「格付の方向性」を付与します。

「格付の方向性」は、次の4種類の何れかの表記となります。

初回審査時
新規格付 最初の格付においては全て新規格付となります
更新審査以降
ポジティブ 今後、格上げの方向で見直す可能性が高いと判断する場合
安定的 当面変更の可能性が低い場合
ネガティブ 格下げの方向で見直す可能性が高いと判断する場合

「格付の方向性」を「ポジティブ」あるいは「ネガティブ」としても、情報セキュリティ格付の変更を予告するものではありません。「安定的」としている審査対象部門についても、状況によっては、「格付の方向性」の変更なしに情報セキュリティ格付を変更することがあります。

「格付想定水準」について

「保有する情報資産の重要度に応じた格付想定水準」については、こちらをご覧ください。 格付想定水準

格付の有効期間

情報セキュリティについては、対策の技術革新が進展する一方で、常に新たな脅威が生まれています。非常に影響の大きい新たな脅威が生まれた場合には、その対策をとらないと、以前のセキュリティレベルも維持できなくなります。このため、アイ・エス・レーティングの格付は、符号とともに格付取得日を明記し、その格付の有効期限は取得から1年間とします。従って、格付結果を公表し続けるためには、1年に1度、格付を受けなおしていただく必要があります。

格付結果の公表について

格付結果を公表するかどうかは、格付を受けた企業の自由な判断によりますが、以下の3つの方法が考えられます。
第1は格付結果を広く公表し、高い格付をPRすることで、外部の信頼を高めていく方法。
第2は格付結果を一般には公表しないが、取引先などから求められたら、その相手には結果を開示する方法。
第3は格付結果を外部には一切公表せず、現状認識と今後の改善のヒントとして社内で活用するという方法。改善後、次回の格付で高い評価が得られれば、公表することをお勧めします。

123


ページのTOPへ