2021年10月29日
ISMS(ISO27001)のリスクアセスメントとは、リスク特定、リスク分析、リスク評価の一連のプロセスのことを指します。
ISMS(ISO27001)を構築する上でのリスクアセスメント法は、①ベースラインアプローチ、②非形式的アプローチ、③詳細リスク分析の3つがあります。
リスクアセスメントを行うことで、社内のリスクの全容を把握できます。
1.ISMS(ISO27001)のリスクアセスメントとは?
ISMSのリスクアセスメントとは、①リスク特定、②リスク分析、③リスク評価のプロセス全体のことを指します。
どのようなリスクがあるのか洗い出し、そのリスクにどのような影響があるのかを分析し、
どのくらい重要かを把握し、どう対策していくか決めていく活動のことです。
情報セキュリティにおけるリスクはたくさんありますが、どのようなリスクがあるかはその組織の状況によって異なります。
①リスク特定
リスク特定とは、どんなリスクがあるか見つける・洗い出すことです。
情報セキュリティにおけるリスクとは、情報セキュリティ3大要素である機密性・完全性・可用性を損なう要因のことを指します。
ではどうやってリスクを特定するのでしょうか。
リスクの特定と言われると、「会社にある情報資産を全て洗い出さないと・・・」「そもそも情報資産ってなんだっけ?定義は?」と悩んでしまうかもしれません。
組織にとって一番重要なことは、情報資産のリスクを軽減することです。
まずは日常業務で「これって大切な情報だよな」と思うものを洗い出していきましょう。
洗い出したものが重要資産であり、リスク対策ができているか確認しないといけない情報になるはずです。
その重要資産に対して、漏えい、滅失、毀損などの危険性がリスクになります。
事前に把握しておかないと漏えいなどのインシデントが起きてしまうかもしれません。
そのため、事前に危険性を確認しましょう。これがリスクの特定です。
②リスク分析
リスク分析とは、 ①で洗い出したリスクが
・どんな特性があるか
・どのくらい影響をもつものなのか
を調査・分析することです。
そのリスクが発生したら組織にどんな影響があるのか、その影響の度合いはどれほどか、どこまでの範囲に影響があるかを分析することを指します。
③リスク評価
リスク評価とは、 ②で分析した結果をもとに、
・そのリスクをどうするか
・どのリスクを優先的に対応するか
の判断材料を揃えることです。
以上の①~③のプロセスが「リスクアセスメント」になります。
ISMS(ISO27001)においては、リスクアセスメント後に「リスク対応」が待っています。
④リスク対応
リスクアセスメントを行ったら、必要なものにはリスク対応を行います。
リスク対応には大きく3つの方法があります。
リスク軽減:リスク発生の可能性を低くする・影響範囲を小さくする対策を施す
リスク回避:該当プロセスを辞める・機器の利用を辞めるなど、リスクの根本を絶つ
リスク移転:外部にリスクを移転する
ちなみに、リスク特定で洗い出されたけれども対応はしなくてよい、もしくはこれ以上は対応できない、 という評価になった場合は、リスク受容となります。
リスク受容:対策をせず、リスクは認知してもそのままにする
こちらの記事でもセキュリティリスクへの対応について解説しております。是非ご覧ください。
2.情報セキュリティ3大要素のCIAとは?
ISMS(ISO27001)の重要なキーワードは、 情報セキュリティ3大要素の「CIA(機密性・完全性・可用性)」です。
機密性(Confidentiality)
その情報を見れる人が少ない状態のものです。
ですので当然外部に漏洩すると多大な影響に繋がる可能性のあるものを指します。
完全性(Integrity)
情報が正確な状態です。
もちろん情報が欠けていたり、古かったりも完全性ではない状態となります。
完全性を脅かすリスクを軽減していくのがリスク対策の1つとなります。
可用性(Availability)
必要な時にいつでも使える状態にしておくことです。
バックアップを取っていてもそれが肝心な時に復旧できなければバックアップの可用性は担保されていませんよね。
ISMS(ISO27001)はこの3つのCIAの観点のリスクを軽減し、マネジメントシステムとすることでリスク軽減対策を実施していく規格なのです。
3.ISMS(ISO27001)のリスクアセスメント方法3選
リスクアセスメントで何をするかはお分かりいただけたでしょうか。
次に、リスクアセスメントの具体的な方法を3つご紹介します。
①ベースラインアプローチ
ベースラインアプローチとは、理想と現実のギャップがポイントです。
自社にとっての理想となるセキュリティ対策とはどのような状態で、どんなことをしている状態なのか、
それに対して現実の対策と状態はどうなっているかを把握すると「ギャップ」に気づくはずです。
ギャップ分析とも言います。
ギャップに対して情報セキュリティ対策を実施していく手段です。
②非形式的アプローチ
非形式アプローチとは、企業の経験や知識を活かしたり、 担当者の知識やセキュリティの専門家からの助言に基づき、リスクを特定・分析・評価していく手段です。
③詳細リスク分析
詳細リスク分析とは、リスク評価しやすくするために、詳細に管理体制や資産価値の確認および評価を行う手段です。
CIAごとに点数をつけたり、脅威・脆弱性をもとにスコアをつけたり、詳細に管理体制や資産価値の確認方法を決めていくということです。
※脅威 :リスクを発生させる要因を指します。
※脆弱性:脅威が発生しやすい性質のことです。
こちらの記事でもISMS(ISO27001)の構築について解説しております。是非ご覧ください。
まとめ
ISMS(ISO27001)におけるリスクアセスメントとは、リスク特定、リスク分析及びリスク評価のプロセス全体のことです。
簡単に説明すると、自社にとってどのようなリスクがあるのかを見つけ、そのリスクがどれほど社内にとって影響があるのかを分析し、 どのくらい自社にとって重要か把握し、どう対策していくかを決めていく活動を指します。
ISMS(ISO27001)を構築する上でのリスクアセスメント法は、①ベースラインアプローチ、②非形式的アプローチ、③詳細リスク分析の3つがあります。
以上、リスクアセスメントについて説明いたしましたが、 「頭では理解できても、実際にリスクアセスメントを行うとなるとよくわからない…」 というケースも多いと思います。
お困りの際は、是非コンサルタントにご相談ください。
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!お問合せは
こちらから全国どこでもオンラインで対応!
気軽にご相談ください!相談予約は
こちらから
お電話受付:平日9:30〜17:00
認証パートナーのサービスご説明資料
8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISO27017など各種対応規格
ISO27017やISO22000など各種規格もお得に 新規取得や運用・更新ができます。ご気軽にお見積りください。
ISO27017など各種対応規格ページへ -
複数規格の同時取得
ISOやプライバシーマークを同時に認証取得すると費用や工数を抑えることができます。安心してご相談ください
複数規格の同時取得ページへ