ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜17:00

ISMS(ISO27001)におけるセキュリティリスクへの対応(4つの思考法)

スタッフ写真
スタッフ写真

2021年11月16日

ISMS(ISO27001)におけるセキュリティリスクへの対応(4つの思考法)

ISMS(ISO27001)のセキュリティリスクへの対応は、リスク低減・リスク保有・リスク回避・リスク移転の4つの方法があります。

ISMS(ISO27001)を取得している企業は、セキュリティリスクへの対応を社内に取り入れて、セキュリティを見直す必要があります。

1.セキュリティリスクとは

ISMS(27001)では、リスクアセスメント結果によりそれぞれのリスクに対してどう対応していくか決めなければなりません。

セキュリティリスクとは、情報システムとそのデータについてマイナスの影響を生じる可能性を持った「リスク」です。

情報システムやそのデータを守るためには 、

①機密性
②完全性
③可用性

という3つのことを保持することをしなければなりません。
ただし、この3つに対して必ずリスクがあります。そのリスクの種類が、

①脅威
②脆弱性

です。 脅威や脆弱性に対してどう対応していくかを考えていく必要があります。

2.リスク低減

リスク低減とは自社内や情報システムが持っている脆弱性(弱い部分)に対して何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせることです。

リスク低減させることを検討する場合には、リスクの高いものから優先的に検討することになります。 このセキュリティ対策の中には、

①技術的:暗号化の実施
②組織的:従業員の教育
③物理的:パソコンを鍵付きキャビネットへ保管

などの種類があります。
リスク低減には実施するごとにキリが無いので優先順位をつけて、これはやっておくべき対策だという事を判断しながらやっていった方が良いでしょう。

3.リスク保有

リスク保有とは対策を行わずにリスクを受け入れるということです。

例えばリスクはあるけれども発生頻度、リスクが発生した時の影響が小さいと判断した場合がこれに良く該当します。
そのリスクを潰すことにかかる費用と対策が無いと判断した場合に「リスク保有」を取ることが多いです。
言い換えると「現状維持」するということです。
脅威や脆弱性が低いとリスクアセスメントで判断した場合は「リスク保有」としましょう。

よろしければこちらの記事もご覧ください。

4.リスク回避

リスク回避とは発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということです。

例えば個人情報を貰って実施する業務があるとします。
その業務をするにあたって個人情報を紛失・漏洩・滅失などのリスクが存在し、その事象が起きてしまうと会社存続にまで係る事だと考えられます。

そうであるのであれば個人情報を受け取らない方法にする、そもそもその業務自体を辞めてしまおうという発想です。
リスクをあらかじめ考えることが大事ですね。
業務を行う上では必ずリスクは発生しますが限りなくリスク回避しておくことに間違いないでしょう。

プロのコンサルタントがお悩みをお伺いします!

5.リスク移転

リスク移転とはリスクを別の組織(第三者)に移して、自分たちの責任範囲外にすることです。

例えば事務所内にサーバーがあるとします。
そのサーバーには地震が起きた時に潰れてしまうというリスクや盗まれるというリスクがあります。
そのリスクを移転するにはクラウドサーバーを使う等の外部委託先企業へ委託するという対応を取ります。
そうすることにより先程上げていたリスクは無くなる為、リスク移転ができたという考え方です。
今抱えているリスクを第三者へ移転することを考えて対策をしてもらえればと思います。

まとめ

ISMS(ISO27001)のセキュリティリスクとは、情報システムとそのデータについてマイナスの影響を生じる可能性を持った「リスク」です。

セキュリティリスク対応として、リスク低減・リスク保有・リスク回避・リスク移転、4つの方法があります。

・リスク低減とは
自社内や情報システムが持っている脆弱性(弱い部分)に対して、 何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせること

・リスク保有とは
対策を行わずにリスクを受け入れるということ

・リスク回避とは
発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということ

・リスク移転とは
リスクを別の組織(第三者)に移して、自分たちの責任範囲外にすること

「頭では理解できても、実際に業務を行うとなるとよくわからない…」 というケースも多いと思います。

お困りの際は、是非無料相談でコンサルタントにご相談ください。

ISO・Pマーク認証更新でお悩みの方へ

Pマークについてお悩み、ご質問がある方はこちら

認証パートナーは、8000社を超える企業様に認証率100%で支援してきた実績と経験豊富なコンサルタントの知見を活かし、お客様の目標達成を全力でサポートいたします。
アドバイスや取り次ぎだけでなく、書類作成や監督に向けての準備、年々変化するルールへの対応まで、お客様のパートナーとして共に歩んでまいります。
認証取得したいけれど、何をすれば良いか分からない方も、まずはお気軽にご相談ください。

\SNSでシェアしてね/

クリップボードにコピーしました

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

0120-068-268
お電話受付:平日9:30〜17:00

認証パートナーのサービスご説明資料

8,000社以上の支援実績に裏付けされた、
弊社サービスの概要を紹介しております。

資料の内容

  • ・当社のサポート内容
  • ・規格の概要
  • ・取得までに必要な審査費用

ISMS(ISO27001)認証パートナー
サービスのご案内認証パートナーロゴ

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。