情報セキュリティリスクアセスメントとは

組織が管理している情報資産を保護するためにリスクを洗い出し、それぞれに管理策を施すことを意味します。

ISO27001(ISMS)と情報セキュリティリスクアセスメント

ISO27001(ISMS)では機密性・完全性・可用性の観点からリスクを特定し、そこから何が起こるか・発生しやすいかどうかを分析し、設定したリスク基準と比較して評価していくことを要求しています。
特定する範囲は組織内での情報資産だけでなく、顧客から預かったものや派遣従業員が派遣先で貸与されたものも含めることがあります。
つまり、事業活動をする上で、失ってしまったり流出したり形が変わってしまうと困るものやサービスなどを洗い出し、考えられるリスクと対策を評価し、対応することです。

情報セキュリティリスクアセスメントからつながる運用

ISO27001(ISMS)において情報セキュリティリスクアセスメントは非常に重要な運用です。アセスメントの結果から情報セキュリティ目的を設定し、リスク基準を超えた特に注意すべきものに対してはリスク値を下げるためのリスク対応計画を策定・実施することが必要であり、さらにマネジメントレビューで報告しなければなりません。

まとめ

情報セキュリティリスクアセスメントはISO27001(ISMS)を運用する上で根幹となる取組みです。
組織で管理している中で失くなったり流出したりすると困るものは何か、考えられるリスクは何かを洗い出し、対策を評価して明確にしていきましょう。