ISMS認証とは何か■第3回■ | ScanNetSecurity[国内最大級のサイバーセキュリティ専門ポータルサイト]
2017.11.20(月)

ISMS認証とは何か■第3回■

特集 特集

ISMSを認証取得するにはどういう準備をすればよいかみていこう。ISMSはプライバシーマークのように個人情報保護だけでなく、組織が保有する情報資産が対象となるため、認証取得に向けてかなり大変な作業となる。最初のSTEPである「適用範囲の決定」から通常1年近くかかる長丁場である。ISO9001シリーズの取得並みに大変だと考えた方がよいだろう。

●STEP5 リスクアセスメントを実施

決定したリスクアセスメント手順に従い、まずリスク値の算出を行う。前段階までのプロセスで行った「情報資産の価値」「脅威の大きさ」「脆弱性の度合い」を用いて、リスク値=情報資産の価値×脅威×脆弱性で算出する。

例えば資産価値が4、脅威が3(社外に漏洩すると信用失墜)、脆弱性が3(すべての担当者がアクセスできる)なら4×3×3の36がリスク値として計算する。ただし脅威や脆弱性の評価をどう行うかは難しく、例えば過去の漏洩件数などの統計データがあれば、その値を脅威の頻度として採用できるが通常はない。外部の専門家に依頼して評価するのも有効な方法である。実際は厳密なものではないので、評価者の判断でリスク値に差がでてしまう。ISMSの目的は適用対象全体で適切なセキュリティ対策を決定することであり、あまり厳密に考えず目安として実施すればよい。

次に組織としてリスクを受容できる範囲を決める。受容可能なリスクは現状の管理を受容したことになる。受容したリスクは組織にとって残留リスクとなる。

●STEP6 リスク対応を行う

リスク対応とは「適切な管理策を採用する」、「リスクを保有する」、「リスクを回避する」、「リスクを移転する」のいずれかを実施することである。
適切な管理策を採用してリスクを低減させることがもっとも多く採用させる方法である。これには二つのアプローチがあり、リスク発生の可能性を低減するには例えば「入退室管理をより厳重にする」ことで可能となる。もう一つはリスクが顕在化した場合の影響度を低減することである。例えば「バックアップ頻度を増やし、修復可能なデータを増やす」で対応できる。

現実にはリスクの完全な除去は不可能で対策にかかる費用と効果のトレードオフとなる。そこで対策を行い受容可能な水準までリスクを下げて、『リスクを保有』する手もある。また『リスクを回避する』する手もある。情報資産を扱っている業務そのものを廃止する、情報資産を破棄する、売上げ効果のない顧客一覧を消去することでリスク回避を行う。

別の方法として『リスクを移転する』こともできる。契約などでリスクを他者へ移転させてしまう。例えば、情報資産や情報セキュリティをアウトソーシングする。ただし、リスクを移転することで新たに発生するリスクもある。また個人情報漏洩賠償責任保険などの保険を活用して、漏洩時にかかるコストなどのリスクを移転する方法がある。

【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド 水谷哲也】
http://allabout.co.jp/career/corporateit/

──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

Scan BASIC 会員限定記事

もっと見る

Scan BASIC 会員限定記事特集をもっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)

もっと見る

[Web小説] サイバー探偵 工藤伸治の事件簿サーガ (シーズン 1~6 第1話)特集をもっと見る

カテゴリ別新着記事

特集 カテゴリの人気記事 MONTHLY ランキング

  1. グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

    グローバルで活躍するプロフェッショナル - EYのサイバーセキュリティ部隊に仕事とキャリアを聞く

  2. ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

    ここが変だよ日本のセキュリティ 第30回「ダメンズ・オーディット! 上場企業なら避けて通れない監査対応に監査感激!」

  3. クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

    クラウドセキュリティ認証「ISO 27017」「ISO 27018」の違いとは? ~クラウドのよさを活かす認証コンサル LRM 社 幸松 哲也 社長に聞く

  4. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第8回 「はした金」

  5. [対談] 人工知能は重要経営課題となったサイバーリスクに対抗できるか

  6. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第7回 「三人の容疑者」

  7. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第9回「勤怠簿」

  8. マンガで実感 !! サイバーセキュリティ 第1話「静かなる目撃者」

  9. 工藤伸治のセキュリティ事件簿 シーズン 7 「アリバイの通信密室」 第1回 「プロローグ:身代金再び」

  10. 工藤伸治のセキュリティ事件簿 シーズン6 「誤算」 第1回「プロローグ:七月十日 夕方 犯人」

全カテゴリランキング

★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★
<b>★★Scan PREMIUM 会員限定コンテンツにフルアクセスが可能となります★★</b>

経営課題としてサイバーセキュリティに取り組む情報システム部門や、研究・開発・経営企画に携わる方へ向けた、創刊19年のセキュリティ情報サービス Scan PREMIUM を、貴社の事業リスク低減のためにご活用ください。

×