ISMS審査合格率100%

0120-068-268
お電話受付:平日9:30〜18:30

ISMS(ISO27001)認証お役立ちコラム

ISMS(ISO27001)の情報セキュリティリスクアセスメントをやってみた(事務所編)

2021年12月10日

ISMS(ISO27001)の情報セキュリティリスクアセスメントをやってみた(事務所編)

ISMS(ISO27001)の情報セキュリティリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。
事務所でISMS(ISO27001)の情報セキュリティリスクアセスメントを実施するとなると、外部からの来客があったり、ネットワークで外部と繋がっていたり、と色々なリスクが潜んでいます。

1.情報セキュリティリスクアセスメントとは

情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。

リスクアセスメントを実施するためには基準を作ること、リスクを受容する基準を作ることなどが求められています。
つまり、リスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。
リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。 「すべてのリスクを無くさなければならない!」と思われるケースが多いですが、それは間違いです。

ISMS(ISO27001)のリスクマネジメントでは、主に4つの方法があります。

(1)軽減
対策を立て、リスクを減らす。

(2)受容(保有)
リスクを受容し、自社の取り組める範囲で対策を立てる。

(3)回避
リスクの要因を排除する。(例.紙媒体の紛失というリスクを防ぐためにペーパーレス(データ管理)にする)

(4)移転
リスクを第三者に移す。(例.社内サーバーではなく、外部のクラウドサーバーを利用する)

2.事務所にはどんなリスクがある?

では具体的に、事務所ではどのようなリスクがあるのでしょうか?

事務所では主に従業員が働いますが、外部からの来客があったり、 ネットワークで外部と繋がっていたり、といろいろなリスクが潜んでいるかもしれません。
まずはハード面とソフト面に分けて、情報の洗い出しを行います。

■ハード面

デスクトップPC      → 保管場所:各個人デスク
ノートPC         → 保管場所:各個人デスク
iPad         → 保管場所:各個人デスク
Wi-Fiルータ       → 保管場所:事務所
社用USB       → 保管場所:各個人デスク
印鑑(代表印レベル) → 保管場所:鍵付きキャビネット

■ソフト面

ウイルス対策ソフト(電子)   → 保管場所:各個人PC
お客様情報(電子)       → 保管場所:クラウド
見積書・注文書・請求書(紙)  → 保管場所:鍵付きキャビネット
見積書・注文書・請求書(電子) → 保管場所:クラウド
従業員情報(電子)       → 保管場所:クラウド
従業員のマイナンバー(紙)   → 保管場所:鍵付きキャビネット
勤怠管理情報(電子)      → 保管場所:勤怠管理ソフト内

洗い出せば、キリがないので、こちらで一旦洗い出しは完了とします。
本来であれは会社がリスクとして考え、対策を講じたい項目についてはすべて洗い出すのが望ましいです。
それでは次の項目で、「どの程度」のリスクなのか考えていきましょう!

3.情報セキュリティリスクアセスメントをやってみた

それでは実際に情報セキュリティリスクアセスメントを実施していきましょう。

今回はすべてのアセスメントを実施することは難しいので、
1つを例に挙げてCIA(C:機密性、I:完全性、A:可用性)の観点からリスクアセスメントを実施していきます。

例:従業員のマイナンバー(紙)→保管場所:鍵付きキャビネット

(1)C:機密性=『外部に漏れない状態のこと』
従業員のマイナンバーは会社が従業員から預かっている個人情報の中でも特に機密性の高いものです。
法令でも特定の担当者以外は見てはいけないことになっています。 そのため機密性は非常に高い情報と言えるでしょう。

→対策:担当者以外は開けられない鍵付きキャビネットで厳重に保管する。またその鍵の保管場所も限定的とする。

(2)I:完全性=『正確かつ最新の状態』
従業員から預かっているマイナンバーは各種手続き等で利用することになります。
そのため預かっている12桁のマイナンバーに間違いがあると、手続きができないということも発生してきます。
つまり情報は完全性が高く求められるでしょう。

→対策:マイナンバーを預かる時にダブルチェックをする。

(3)A:可用性=『利用可能な状態』
マイナンバーは各種手続き等で利用シーンがありますが、毎日使うものでもありません。
そのため常に使える状態にしておく必要はありません。

→対策:担当者以外は開けられない鍵付きキャビネットで厳重に保管する。またその鍵の保管場所も限定的とする。

4.まとめ

いかがだったでしょうか。
今回は一般的な内容でご紹介してきましたが、

ISMS(ISO27001)を取得する上では切っても切り離せないものが情報セキュリティリスクアセスメントです。

御社ではどのような情報リスクが潜んでいるか?を考える良い機会にして頂けると幸いでございます。

プロのコンサルタントがお悩みをお伺いします。
お気軽にご相談ください。

ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください

認証パートナーロゴ

0120-068-268
お電話受付:平日9:30〜18:30

5営業日以内にお届け!

新規取得・運用別に
役立つ資料をお届けします

新規認証や運用・更新にあたって当社が何を請け負うか、
わかりやすい資料でご検討の参考にしてください。

役立つ資料をお届け

ISMS(ISO27001)認証パートナー
サービスのご案内

認証パートナーロゴ

認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。