ISO27001(ISMS)のリスクアセスメントとは。
投稿日:2023年2月1日 最終更新日:2023年8月21日
わかっているつもりでも、リスクアセスメントの内容がしっかり理解できていない人や、社内のリスクアセスメントが十分に行われていないケースは多々あります。
そもそも、ISO27001(ISMS)のリスクマネジメントとはどのようなものなのでしょうか?
今回は、ISO27001(ISMS)における「リスクアセスメント」について、3つのプロセスやリスク対応などをご紹介します。
ISOの認証取得・更新・スリム化の支援はお任せ下さい!
- 東京
- 大阪
- 名古屋
- 神戸
- 福岡
リスクアセスメントとは?
ISO27001(ISMS)では、リスクに関わる3つのプロセスのことをリスクアセスメントと呼んでいます。
具体的には、リスクの特定・リスクの分析・リスクの評価などです。
どのようなリスクがあるのか把握し、会社にどの程度影響があるのか、そして組織的にどのように対応していくのかを判断するためのものであり、社内でリスクの全容が理解できるというのが特徴です。
・リスクの特定
リスクの特定は、どのようなリスクがあるのかを見つけ、洗い出すことです。
企業という組織の中で重要なのは、情報資産のリスクを軽減することだと言われています。
では、日常業務の中で大切な情報だと思うものは何でしょうか?
社内にある資産情報を全て洗い出すのではなく、日々の業務で重要だと感じる情報に対し、リスク対策ができているかを確認するのです。
その重要資産に対し、漏洩・滅失・毀損といった危険があるなら、早急に把握しておく必要がありますよね。
・リスクの分析
その名のとおりリスクを特定した後で、そのリスクが会社にとってどれほどの影響があるのかを調査・分析することをリスク分析と言います。
会社で担っている事業遂行にどう影響するのか、範囲なども分析し、把握していきます。
・リスクの評価
リスクの評価では、分析結果をもとにそのリスクにどう対応していくのか、対応する上での優先順位はどうなのかを判断します。
会社への影響や重要性などを踏まえ、どう対応していくかの判断材料を整えていきます。
ISO27001(ISMS)におけるリスク
そもそも、ISO27001(ISMS)における情報セキュリティのリスクとはどのようなものが挙げられるのでしょうか?
それは、情報セキュリティにおいて3大要素と言われる、気密機密性・完全性・可用性のことです。
これらを総称してCIAとも呼ばれていますね。
・機密性
機密性とは情報そのものを見られる人が少なく、限られている状態のものです。
このような情報が万が一外部に漏洩すると、大きな影響につながる恐れがあります。
例えば、誤った宛先にメールを送信したり、ウイルス感染により機密情報が漏洩してしまったりといったケースがあります。
・完全性
完全性とは正確な情報を言いますが、特に完全な状態というのは、古くても新しい情報が網羅されていたり、逆に新しくても古い情報が網羅されていたりと、欠けている情報がない状態のことです。
1つでも情報が不足していると、完全性を脅かすリスクとなってしまいます。
例えば、データの入力ミスやデータベースの改ざん、プログラムの誤作動によるデータの書き換えなどが挙げられます。
・可用性
可用性は、必要になった時にいつでも使える状態にしておくことを言います。
バックアップを取っている状態と言うとわかりやすいですね。
しかし、バックアップを取っていても、肝心な時に復旧できないと可用性が担保されていないことになります。
重要なデータを保存していたストレージが破損していたり、パスワードを失念してしまったりした場合も、このケースに該当します。
リスク対応として重要なもの
リスクアセスメントを行ったら、リスク対応を実施していく必要があります。リスク対応には4つの方法があります。
・リスク軽減:発生する可能性を減らす・発生しても影響範囲を小さくするために対策する
・リスク回避:該当のプロセスを中止・該当機器の利用を中止してリスクの根源を経つ
・リスク移転:クラウドサービスを使い、リスクを外部に移転する
・リスク受容:リスクの認識はするが、対策をせずそのままにする
基本的には、必要なものにはリスク軽減・リスク回避・リスク移転といった対応が実施されます。
しかし、リスクが特定できてもこれ以上何も対応できない・対応はしなくて良いと判断される場合は、リスク受容が選択されます。
ISO27001(ISMS)認証取得やリスクアセスメントはプロに相談しよう
ISO27001のリスクアセスメントとは、情報資産に対するリスクの特定・リスクの分析・リスクの評価などのプロセス全体のことを指します。
会社内で情報資産に対してどのようなリスクがあるのか、そのリスクがどれほどの範囲に影響するのか、そして必要な対策は何かといった活動をすることは、企業にとって重要ですよね。
これからISO27001(ISMS)を取得しようと思っている企業や、頭では理解しているつもりでも、実際にリスクアセスメントを行うのは不安という方は、取得や運用を支援する弊社のようなプロへの相談がおすすめですよ。
最後までご覧いただき、ありがとうございます。
ISO27001のリスクアセスメントについて知り、ISMSの構築、運用に興味を持たれましたでしょうか。
適当にISMSを構築、運用してしまうと、せっかく労力をかけ、時間をかけて作った仕組みが上手く機能せず、貴重な情報資産を漏洩したり、壊してしまったり、アクセスできなくなってしまったり・・・
お客様へも、社内へも大変な迷惑をかけてしまい、信用を失ってしまうかもしれません。
当社では経験が豊富で、あなたの会社の課題を解決できるようISMSの取得、運用を支援するコンサルタントが揃っています。
ご興味のある方は今すぐこちらまでご相談を!
ISOコム株式会社お問合せ窓口 0120-549-330
