Sono in procinto di definire una metodologia di valutazione del rischio per un'azienda che vorrebbe essere allineata con ISO 27001. Lo standard afferma chiaramente che l'obiettivo è la protezione della CIA (riservatezza, integrità, disponibilità).
Ho nella mia metodologia di rischio fornire punteggi per le conseguenze per ciascun asset / processo rispetto a riservatezza, integrità e disponibilità separatamente o è sufficiente per fornire un punteggio singolo per ciascun asset / processo. Nella maggior parte degli strumenti approvati ho il trattamento di un singolo punteggio per le conseguenze.
È NOT che segna le conseguenze indipendentemente per ciascuna delle CIA nell'approccio giusto?