2021年11月16日
ISMS(ISO27001)のセキュリティリスクへの対応は、リスク低減・リスク保有・リスク回避・リスク移転の4つの方法があります。
ISMS(ISO27001)を取得している企業は、セキュリティリスクへの対応を社内に取り入れて、セキュリティを見直す必要があります。
1.セキュリティリスクとは
ISMS(27001)では、リスクアセスメント結果によりそれぞれのリスクに対してどう対応していくか決めなければなりません。
セキュリティリスクとは、情報システムとそのデータについてマイナスの影響を生じる可能性を持った「リスク」です。
情報システムやそのデータを守るためには 、
①機密性
②完全性
③可用性
という3つのことを保持することをしなければなりません。
ただし、この3つに対して必ずリスクがあります。そのリスクの種類が、
①脅威
②脆弱性
です。 脅威や脆弱性に対してどう対応していくかを考えていく必要があります。
2.リスク低減
リスク低減とは自社内や情報システムが持っている脆弱性(弱い部分)に対して何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせることです。
リスク低減させることを検討する場合には、リスクの高いものから優先的に検討することになります。 このセキュリティ対策の中には、
①技術的:暗号化の実施
②組織的:従業員の教育
③物理的:パソコンを鍵付きキャビネットへ保管
などの種類があります。
リスク低減には実施するごとにキリが無いので優先順位をつけて、これはやっておくべき対策だという事を判断しながらやっていった方が良いでしょう。
3.リスク保有
リスク保有とは対策を行わずにリスクを受け入れるということです。
例えばリスクはあるけれども発生頻度、リスクが発生した時の影響が小さいと判断した場合がこれに良く該当します。
そのリスクを潰すことにかかる費用と対策が無いと判断した場合に「リスク保有」を取ることが多いです。
言い換えると「現状維持」するということです。
脅威や脆弱性が低いとリスクアセスメントで判断した場合は「リスク保有」としましょう。
よろしければこちらの記事もご覧ください。
ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選
4.リスク回避
リスク回避とは発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということです。
例えば個人情報を貰って実施する業務があるとします。
その業務をするにあたって個人情報を紛失・漏洩・滅失などのリスクが存在し、その事象が起きてしまうと会社存続にまで係る事だと考えられます。
そうであるのであれば個人情報を受け取らない方法にする、そもそもその業務自体を辞めてしまおうという発想です。
リスクをあらかじめ考えることが大事ですね。
業務を行う上では必ずリスクは発生しますが限りなくリスク回避しておくことに間違いないでしょう。
5.リスク移転
リスク移転とはリスクを別の組織(第三者)に移して、自分たちの責任範囲外にすることです。
例えば事務所内にサーバーがあるとします。
そのサーバーには地震が起きた時に潰れてしまうというリスクや盗まれるというリスクがあります。
そのリスクを移転するにはクラウドサーバーを使う等の外部委託先企業へ委託するという対応を取ります。
そうすることにより先程上げていたリスクは無くなる為、リスク移転ができたという考え方です。
今抱えているリスクを第三者へ移転することを考えて対策をしてもらえればと思います。
まとめ
ISMS(ISO27001)のセキュリティリスクとは、情報システムとそのデータについてマイナスの影響を生じる可能性を持った「リスク」です。
セキュリティリスク対応として、リスク低減・リスク保有・リスク回避・リスク移転、4つの方法があります。
・リスク低減とは
自社内や情報システムが持っている脆弱性(弱い部分)に対して、 何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせること
・リスク保有とは
対策を行わずにリスクを受け入れるということ
・リスク回避とは
発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということ
・リスク移転とは
リスクを別の組織(第三者)に移して、自分たちの責任範囲外にすること
「頭では理解できても、実際に業務を行うとなるとよくわからない…」 というケースも多いと思います。
お困りの際は、是非無料相談でコンサルタントにご相談ください。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ