2021年12月23日
ISMS(ISO27001)のリスク評価とは、リスクアセスメントのプロセスの中のひとつで、特定・分析したリスクに対して「対策を講じる必要があるか」判断することです。
ISMS(ISO27001)においてリスク評価はリスクアセスメントと包括され呼ばれることもありますが、リスクの最終判断プロセスとも言える内容となっています。
1.ISMS(ISO27001)におけるリスク評価とは
リスク評価とは、リスクアセスメントのプロセスの中のひとつで、特定し、分析したリスクに対して対策を講じる必要があるかを判断することです。
リスクアセスメントとは、リスク特定、リスク分析、リスク評価の一連のプロセスを指します。
リスクアセスメントについて詳しくはこちらを参照ください。
ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選
リスク評価は、リスクの特定、分析を行った後に実施します。
規格では、
「リスク及び/又はその大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス」
と定義づけされています。
つまりリスク分析を行ったあとで、後述の受容基準と比較し、
資産に対して発生している、もしくは発生するリスクを
このままにしておくか(=受容、許容)
それとも、
対策を立ててリスクを低減させたり、好ましくない結果を回避するための措置を講じるかを決定することなのです。
2.ISMS(ISO27001)のリスク評価の方法は?リスクアセスメントって何?
では、具体的に、リスク評価はどのように行うのでしょうか。
採用選考の履歴書を例に、リスク評価を含むリスクアセスメントの流れを、見ていきましょう。
(1)リスク特定
リスクアセスメントではまずリスクの特定が求められていますので、紙媒体におけるリスクを洗い出してみます。
| 媒体 | リスク |
|---|---|
| 紙 |
|
例として簡単にではありますが洗い出しを行いました。
(2)リスク分析
さて、ここから分析を行います。つまり履歴書にどのリスクが該当しているのかを講じます。
- 誤って廃棄してしまう
- 保管期間を超過しての保持
- 誰にでも取り出せる場所に保管していたことによる盗難
- 乱雑に保管していたため、一部が破けてしまう
以上のリスクが該当するとします。
このリスクに対して発生する可能性の高さ、リスクが発生した際に与える影響について分析を行います。
ここまでがリスク分析となります。
(3)リスク評価
いよいよリスク評価です。
リスク評価は、分析の結果判明した事実とリスク受容基準を照らし合わせ、履歴書に存在しているリスクをこのまま野放しにしてよいか、対策を打たねばならないかの判断を行います。
リスクアセスメントの方法は数値評価、フロー作成等様々な方法がありますが、わかりやすい例としては数値評価が挙げられます。
数値評価の場合は、まず基準となるリスク受容基準の点を決めます。
たとえばリスク受容基準が10点だとして、履歴書のスコアが11点を超えれば「なんらかの対応が必要」という評価になりますし、9点以下であれば「対応はしない、リスクを受容する」という評価になります。
具体的な点数の算出事例はこちらのコラムで説明しておりますのでご覧ください。
3.リスクアセスメントの基準は?
繰り返しになりますが、リスクアセスメントを行う際には先に基準を設けておく必要があります。
これをリスク受容基準といいます。
リスクに対して、「特別の対策を取らずにそのままの状態を維持してもよい」と判断するためのラインのようなものです。
この基準が明確に定まっていないと、アセスメントをしても、全てに厳重な対策を取らなければならなくなってしまいます。
または対策を取るべきものが不明確になり、良くない結果が想定される状態のまま放置されてしまうかもしれません。
リスクアセスメントを行う場合はリスクに対しての受容基準を設けてから行うようにしましょう。
弊社の場合は数値評価を採用するケースが多いです。
例えばリスク受容基準を「10点」と決めた場合は、
10点以上はリスク対応が必要
9点以下はリスク対応しない
という評価になります。
リスク受容基準について詳しくはこちらを参照ください。
ISMS(ISO27001)のリスク受容基準の決め方|事例つき
4.ISMS(ISO27001)のリスク評価の3つのポイント
リスク評価を行うときには、以下の3つの点に注意しましょう。
(1)評価方法決める
(2)受容基準の確立
(3)リスク対応が必要かと優先順位を決める
(1)評価方法を決める
リスク評価を行う前に評価方法について定めておきましょう。
一定の水準を超えたものについてリスク対応を行う必要があるのかという判断を行う必要があるためです。
リスクの評価方法についての例としては数値評価が一つ挙げられます。
(2)受容基準の確立
先にリスク受容基準を決めておきましょう。
「ここまでは現状維持でいいが、ここから先は特別の対策をとって好ましくない結果が発生することを避けよう」と決めるための基準を指します。
まずはこの基準を確立してからリスクアセスメント、リスク評価にとりかかりましょう。
(3)リスク対応が必要かと優先順位を決める
リスク分析の結果受容基準を超えてしまった資産が出てきた場合、それが一つであればその対応のみとなりますが、複数の資産が受容基準を超えてしまった場合、複数の対応を行う必要が出てきます。
その際にどのリスクから低減させるのか優先順位を決める必要があります。
対策を行う上で人・もの・お金がかかるという場合、その資源割り振りをどの順で行うのか、すぐに対応を行わない場合はいつ頃実施するのか、どれくらいの期間で実施するのか等決定を行う必要があります。
まとめ
ISMS(ISO27001)のリスク評価の実施方法については、まず資産の洗い出し、その次に機密性・完全性・可用性(=CIA)の観点での評価が必要になってきます。
リスクアセスメントを行うためにリスク受容基準の確立、評価方法の確立し、基準や評価方法を基にリスクアセスメントを実施、その後対応を行うか否かを決定するためのリスク評価の実施を行いましょう。
実施方法に決まりはありませんが、実施項目に決まりはあります。その点に注意して実施を行いましょう。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ