ISMS(ISO27001)のリスク評価とは、リスクアセスメントのプロセスの中のひとつで、特定・分析したリスクに対して「対策を講じる必要があるか」判断することです。
ISMS(ISO27001)においてリスク評価はリスクアセスメントと包括され呼ばれることもありますが、リスクの最終判断プロセスとも言える内容となっています。
1.ISMS(ISO27001)におけるリスク評価とは
リスク評価とは、リスクアセスメントのプロセスの中のひとつで、特定し、分析したリスクに対して対策を講じる必要があるかを判断することです。
リスクアセスメントとは、リスク特定、リスク分析、リスク評価の一連のプロセスを指します。
リスクアセスメントについて詳しくはこちらを参照ください。
リスク評価は、リスクの特定、分析を行った後に実施します。
規格では、
「リスク及び/又はその大きさが、受容可能か又は許容可能かを決定するために、リスク分析の結果をリスク基準と比較するプロセス」
と定義づけされています。
つまりリスク分析を行ったあとで、後述の受容基準と比較し、
資産に対して発生している、もしくは発生するリスクを
このままにしておくか(=受容、許容)
それとも、
対策を立ててリスクを低減させたり、好ましくない結果を回避するための措置を講じるかを決定することなのです。
2.ISMS(ISO27001)のリスク評価の方法は?リスクアセスメントって何?
では、具体的に、リスク評価はどのように行うのでしょうか。
採用選考の履歴書を例に、リスク評価を含むリスクアセスメントの流れを、見ていきましょう。(1)リスク特定
リスクアセスメントではまずリスクの特定が求められていますので、紙媒体におけるリスクを洗い出してみます。
媒体 | リスク |
---|
紙 | - 誤って廃棄してしまう
- 保管期間を超過しての保持
- 誰にでも取り出せる場所に保管していたことによる盗難
- 社員が私的なSNSなどで情報を発信してしまう
- 乱雑に保管していたため、一部が破けてしまう
- 規定と異なる廃棄方法をとってしまう
|
例として簡単にではありますが洗い出しを行いました。
(2)リスク分析
さて、ここから分析を行います。つまり履歴書にどのリスクが該当しているのかを講じます。
- 誤って廃棄してしまう
- 保管期間を超過しての保持
- 誰にでも取り出せる場所に保管していたことによる盗難
- 乱雑に保管していたため、一部が破けてしまう
以上のリスクが該当するとします。
このリスクに対して発生する可能性の高さ、リスクが発生した際に与える影響について分析を行います。
ここまでがリスク分析となります。
(3)リスク評価
いよいよリスク評価です。
リスク評価は、分析の結果判明した事実とリスク受容基準を照らし合わせ、履歴書に存在しているリスクをこのまま野放しにしてよいか、対策を打たねばならないかの判断を行います。
リスクアセスメントの方法は数値評価、フロー作成等様々な方法がありますが、わかりやすい例としては数値評価が挙げられます。
数値評価の場合は、まず基準となるリスク受容基準の点を決めます。
たとえばリスク受容基準が10点だとして、履歴書のスコアが11点を超えれば「なんらかの対応が必要」という評価になりますし、9点以下であれば「対応はしない、リスクを受容する」という評価になります。
具体的な点数の算出事例はこちらのコラムで説明しておりますのでご覧ください。
3.リスクアセスメントの基準は?
繰り返しになりますが、リスクアセスメントを行う際には先に基準を設けておく必要があります。
これをリスク受容基準といいます。
リスクに対して、「特別の対策を取らずにそのままの状態を維持してもよい」と判断するためのラインのようなものです。
この基準が明確に定まっていないと、アセスメントをしても、全てに厳重な対策を取らなければならなくなってしまいます。
または対策を取るべきものが不明確になり、良くない結果が想定される状態のまま放置されてしまうかもしれません。
リスクアセスメントを行う場合はリスクに対しての受容基準を設けてから行うようにしましょう。
弊社の場合は数値評価を採用するケースが多いです。
例えばリスク受容基準を「10点」と決めた場合は、
10点以上はリスク対応が必要
9点以下はリスク対応しない
という評価になります。
リスク受容基準について詳しくはこちらを参照ください。
4.ISMS(ISO27001)のリスク評価の3つのポイント
リスク評価を行うときには、以下の3つの点に注意しましょう。
(1)評価方法決める
(2)受容基準の確立
(3)リスク対応が必要かと優先順位を決める
(1)評価方法を決める
リスク評価を行う前に評価方法について定めておきましょう。
一定の水準を超えたものについてリスク対応を行う必要があるのかという判断を行う必要があるためです。
リスクの評価方法についての例としては数値評価が一つ挙げられます。
(2)受容基準の確立
先にリスク受容基準を決めておきましょう。
「ここまでは現状維持でいいが、ここから先は特別の対策をとって好ましくない結果が発生することを避けよう」と決めるための基準を指します。
まずはこの基準を確立してからリスクアセスメント、リスク評価にとりかかりましょう。
(3)リスク対応が必要かと優先順位を決める
リスク分析の結果受容基準を超えてしまった資産が出てきた場合、それが一つであればその対応のみとなりますが、複数の資産が受容基準を超えてしまった場合、複数の対応を行う必要が出てきます。
その際にどのリスクから低減させるのか優先順位を決める必要があります。
対策を行う上で人・もの・お金がかかるという場合、その資源割り振りをどの順で行うのか、すぐに対応を行わない場合はいつ頃実施するのか、どれくらいの期間で実施するのか等決定を行う必要があります。
まとめ
ISMS(ISO27001)のリスク評価の実施方法については、まず資産の洗い出し、その次に機密性・完全性・可用性(=CIA)の観点での評価が必要になってきます。
リスクアセスメントを行うためにリスク受容基準の確立、評価方法の確立し、基準や評価方法を基にリスクアセスメントを実施、その後対応を行うか否かを決定するためのリスク評価の実施を行いましょう。
実施方法に決まりはありませんが、実施項目に決まりはあります。その点に注意して実施を行いましょう。
ISO・Pマーク認証更新でお悩みの方へ
認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。