2021年12月10日
ISMS(ISO27001)の情報セキュリティリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。
事務所でISMS(ISO27001)の情報セキュリティリスクアセスメントを実施するとなると、外部からの来客があったり、ネットワークで外部と繋がっていたり、と色々なリスクが潜んでいます。
1.情報セキュリティリスクアセスメントとは
情報セキュリティにおけるリスクアセスメントとは、組織のリスクを洗い出し、評価することをいいます。
リスクアセスメントを実施するためには基準を作ること、リスクを受容する基準を作ることなどが求められています。
つまり、リスクマネジメントとは発生しうるリスクに対して、リスクを想定し、対策を講じることをいいます。
リスクアセスメントを実施してリスクを洗い出し、リスクマネジメントとしてそのリスクへの対策を検討するという仕組みです。 「すべてのリスクを無くさなければならない!」と思われるケースが多いですが、それは間違いです。
ISMS(ISO27001)のリスクマネジメントでは、主に4つの方法があります。
(1)軽減
対策を立て、リスクを減らす。
(2)受容(保有)
リスクを受容し、自社の取り組める範囲で対策を立てる。
(3)回避
リスクの要因を排除する。(例.紙媒体の紛失というリスクを防ぐためにペーパーレス(データ管理)にする)
(4)移転
リスクを第三者に移す。(例.社内サーバーではなく、外部のクラウドサーバーを利用する)
2.事務所にはどんなリスクがある?
では具体的に、事務所ではどのようなリスクがあるのでしょうか?
事務所では主に従業員が働いますが、外部からの来客があったり、 ネットワークで外部と繋がっていたり、といろいろなリスクが潜んでいるかもしれません。
まずはハード面とソフト面に分けて、情報の洗い出しを行います。
■ハード面
デスクトップPC → 保管場所:各個人デスク
ノートPC → 保管場所:各個人デスク
iPad → 保管場所:各個人デスク
Wi-Fiルータ → 保管場所:事務所
社用USB → 保管場所:各個人デスク
印鑑(代表印レベル) → 保管場所:鍵付きキャビネット
■ソフト面
ウイルス対策ソフト(電子) → 保管場所:各個人PC
お客様情報(電子) → 保管場所:クラウド
見積書・注文書・請求書(紙) → 保管場所:鍵付きキャビネット
見積書・注文書・請求書(電子) → 保管場所:クラウド
従業員情報(電子) → 保管場所:クラウド
従業員のマイナンバー(紙) → 保管場所:鍵付きキャビネット
勤怠管理情報(電子) → 保管場所:勤怠管理ソフト内
洗い出せば、キリがないので、こちらで一旦洗い出しは完了とします。
本来であれは会社がリスクとして考え、対策を講じたい項目についてはすべて洗い出すのが望ましいです。
それでは次の項目で、「どの程度」のリスクなのか考えていきましょう!
3.情報セキュリティリスクアセスメントをやってみた
それでは実際に情報セキュリティリスクアセスメントを実施していきましょう。
今回はすべてのアセスメントを実施することは難しいので、
1つを例に挙げてCIA(C:機密性、I:完全性、A:可用性)の観点からリスクアセスメントを実施していきます。
例:従業員のマイナンバー(紙)→保管場所:鍵付きキャビネット
(1)C:機密性=『外部に漏れない状態のこと』
従業員のマイナンバーは会社が従業員から預かっている個人情報の中でも特に機密性の高いものです。
法令でも特定の担当者以外は見てはいけないことになっています。 そのため機密性は非常に高い情報と言えるでしょう。
→対策:担当者以外は開けられない鍵付きキャビネットで厳重に保管する。またその鍵の保管場所も限定的とする。
(2)I:完全性=『正確かつ最新の状態』
従業員から預かっているマイナンバーは各種手続き等で利用することになります。
そのため預かっている12桁のマイナンバーに間違いがあると、手続きができないということも発生してきます。
つまり情報は完全性が高く求められるでしょう。
→対策:マイナンバーを預かる時にダブルチェックをする。
(3)A:可用性=『利用可能な状態』
マイナンバーは各種手続き等で利用シーンがありますが、毎日使うものでもありません。
そのため常に使える状態にしておく必要はありません。
→対策:担当者以外は開けられない鍵付きキャビネットで厳重に保管する。またその鍵の保管場所も限定的とする。
4.まとめ
いかがだったでしょうか。
今回は一般的な内容でご紹介してきましたが、
ISMS(ISO27001)を取得する上では切っても切り離せないものが情報セキュリティリスクアセスメントです。
御社ではどのような情報リスクが潜んでいるか?を考える良い機会にして頂けると幸いでございます。
ISO・Pマークについてのお悩みはありませんか?
- SNSでシェア
- Tweet
ISO・Pマーク(プライバシーマーク)に関することなら
何でもお気軽にご相談ください
0120-068-268
お電話受付:平日9:30〜17:00
お電話受付:平日9:30〜17:00
-
今聞きたいこと、今すぐ回答!
最短即日・全国対応いたします!
お問合せは
こちらから -
全国どこでもオンラインで対応!
気軽にご相談ください!
相談予約は
こちらから
認証パートナーのサービスご説明資料
新規認証や運用・更新にあたって
当社が請け負うことをわかりやすくまとめました。
ぜひご検討の参考にしてください。
資料の内容
- ・当社のサポート内容
- ・規格の概要
- ・取得までに必要な審査費用
ISMS(ISO27001)認証パートナー
サービスのご案内
認証パートナーの専門コンサルタントが御社の一員となって事務局業務を行います。
お客様の作業は審査機関との窓口役だけ。それ以外はすべてお任せください。
-
Pマーク
個人情報保護マネジメントシステム
高い保護レベルの個人情報保護マネジメントシステムを確立し、運用していることを示します。
認証パートナーなら、個人情報漏えい防止の観点も踏まえたサポートを実現します。Pマークの認証ページへ -
ISO9001
品質マネジメントシステム
品質マネジメントシステムは一貫した製品・サービスを提供し、顧客満足を向上させるための規格です。
認証パートナーなら、負担が増える形だけのISOではなく、より現場の実態に沿ったISOを実現します。ISO9001の認証ページへ -
ISO14001
環境マネジメントシステム
環境マネジメントシステムは環境を保護し、変化する環境状態に対応するための組織の枠組みを示します。
認証パートナーなら、課題になりがちな環境法令の対応についても一緒にサポート致します。ISO14001の認証ページへ -
ISMS・ISO27001
情報セキュリティマネジメントシステム
情報セキュリティマネジメントシステムは企業・組織の情報を守る規格です(ISMSとISO27001は同義)。
認証パートナーなら、情報セキュリティリスクへの対応計画、緊急時の対応計画踏まえPDCAサイクル回せるような仕組み作りを実現します。ISMS/ISO27001の認証ページへ