ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第6回 リスクアセスメントって何をやるの? | ScanNetSecurity
2021.01.18(月)

ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第6回 リスクアセスメントって何をやるの?

ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。 (※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋

特集 特集
ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)

株式会社JMCリスクマネジメント
太田 智明
浦名 祐輔
http://rm.jmc.ne.jp/service/iso27001/27column06.html

<ISO27001新米担当者のつぶやき>

■いよいよリスクアセスメント

こんにちは、磯一郎です。

前回は情報セキュリティ方針についての検討でしたが、コンサルタントの山田太一さんからの助言もあり、今回のプロジェクトリーダーである専務に作成していただくことになりました。

さて、明日からは、いよいよリスクアセスメントについての打ち合わせとなります。事前に予習をしようと、ISO27001の規格本とみらめっこをしているのですが、

・リスクアセスメントをやる際には方法を特定する

・リスク対応について選択肢を明確にする…

う〜ん。やはり規格本を読んでもチンプンカンプンです。明日コンサルタントに聞いてみよう。

<ISO27001コンサルタントからのアドバイス>

■非常に重要なポイントである「リスクアセスメント」

本日は、リスクアセスメントのお話をさせていただきます。

リスクアセスメントとは簡単に言うと、企業の仕組みや体制におけるセキュリティの穴(=リスク)を見つけ、その穴がどれだけの影響があるのかを評価し、その評価を元に新しいルール作成やツールの導入などのアクションを考えていくことです。

そして、これから進めるこのリスクアセスメントが、ISO27001の規格では非常に重要なポイントになります。

なぜならば、これから新しく作成されるルールや導入されるシステムやツールの導入などの対策は、このリスクアセスメントのプロセスを経て実現されるものだからです。(審査においても、作成されたルールはどのようなリスクが元になり、作られたのかを確認されます。)

■リスクアセスメントの流れ

まずは、リスクアセスメントをどのように実施するか方法を検討します。

ISO27001の規格では、「リスクアセスメントはこの方法で実施しなさい」など具体的な方法は求められていないので、業種、業態に合わせたやり方で問題ありません。現在では、ツールなどを使用してリスクアセスメントを行う方法が一般的になっています。

手順に含まなければならない主な項目は次のとおりです。

【資産の洗い出し】

ここでは、会社にどのような資産が存在するかを洗い出します。

その際に、実際の業務で発生するインプット情報、アウトプット情報を抽出します。

ポイントとしては、A社見積もり、B社見積もり…のように同じ重要度、取扱い方法のものは、まとめて洗いだすことです。

さらに、それぞれの資産に対して「管理者」を定めてください。

【リスクの評価】

次に、その洗い出した資産に対して、どのような「脅威」が考えられるか、現状の管理状況「脆弱性」は何かを検討します。

例えば、机の上に重要と位置付けた顧客提案書があったと想定します。

その状態に対して、
脅威:部外者の人が入って来て情報を盗まれてしまう
脆弱性:現状では、整理整頓のルールがなく従業員の意識に頼ってしまっている

さらに、上記の脅威が発生することにより、リスクがあるかないか、大きいか小さいかを評価し、対策が必要なリスクを抽出します。

リスクアセスメント方法の具体例

(1)詳細リスクアセスメント
資産一つひとつに対して細かく評価を実施していく手法。
書類やデータなど一つひとつ取扱いが違う物に対して評価する際に使用することが多い。
(2)ベースラインアプローチ
事前に一定の基準を設けそれを上回っているか下回っているかでリスクのありなしを判断する手法。
建物などに対してチェックリスト形式で評価することが多い。

【リスクの対応】

上記で洗い出したリスクに対して、「対策の方針」を検討します。

ここでは4つの分類から選択します。

軽減:何かしらの対策を取り、リスクを減らす行動を取る。
受容:リスクとしては認識したが、今回は対策は取らない。
回避:業務上のプロセス自体をなくす。
転化:保険などにより補てんする。

おそらく、多くのリスクは軽減策を選択することになり、そこからは具体的な対策を検討します。

例えば、
・セキュリティのルールとして整理整頓に関するルールを作成する。
・その後、ルールを従業員に周知徹底を図るために教育する。など

【経営陣の承認】

上記リスク対応にて検討した対策について、「経営陣の承認」をもらいます。リスク対応を実行する際には、ルール作成や設備などの人・金銭・時間の投資が発生します。内容によっては経営にも影響が出てくる場合もあるため、経営陣から実行の承認を得てください。

なお、報告の際はリスク対応について「いつ」「誰が」「何を」を明確にして、経営者が把握しやすい形にすることを心がけてください。

【適用宣言書の作成】

今回リスクとして抽出された事項と…

【執筆:太田 智明、浦名祐輔】

※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/iso27001/27column06.html
《ScanNetSecurity》

Scan PREMIUM 会員限定記事

もっと見る

Scan PREMIUM 会員限定記事特集をもっと見る

カテゴリ別新着記事

★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★
★★ ( FB ログイン可) 会員限定記事、週 1 回のメルマガ、人気ニュースランキング、特集一覧をお届け…無料会員登録はアドレスのみで所要 1 分程度 ★★

登録すれば、記事一覧、人気記事ランキング、BASIC 会員限定記事をすべて閲覧できます。毎週月曜朝には一週間のまとめメルマガをお届けします(BASIC 登録後 PREMIUM にアップグレードすれば全ての限定コンテンツにフルアクセスできます)。

×