ISO27001認証取得コンサルティング、お客様の規模や事情に合った適切なコンサルティング


> > ISO27001で要求されるリスクアセスメントは、そもそも何ですか?

ISO27001で要求されるリスクアセスメントは、そもそも何ですか?

ISO27001の中ではリスクの特定・分析・評価のことをリスクアセスメントといいます。

  1. リスクの受容基準を決め、リスクの特定分析基準を決定する
  2. リスクを特定する
  3. リスクを分析する
  4. リスクを評価する

以上であり、具体的な基準の決め方等は明記されておりません。したがいまして、組織の決定如何で、リスクアセスメントの負荷が大きく変わってきます。

リスクとは?

ISO27001で言うリスクとは、簡単に言えば、少なくとも「機密性」「完全性」「可用性」という3つの特性を損なう危険性のことです。

例えば、

「機密性」を損なう例

  1. メールを誤った宛先に送ってしまう
  2. ウィルス感染によりネットワーク上に情報が流出してしまう etc.

「完全性」を損なう例

  1. データベースが改ざんされてしまう
  2. データの入力ミスをしてしまう etc.

「可用性」を損なう例

  1. データを保存していたストレージが破損してしまう
  2. ファイルのパスワードを失念してしまう etc.

他にも、身近な例としては、

  1. タクシーの中で秘密情報を話してしまう
  2. 人ごみの中、電話で秘密情報を話してしまう
  3. 混雑した電車の中で業務メールをやり取りしてしまう
  4. SNSで仕事の内容に触れてしまう

等、いずれも「うっかり」であったり「善意(やってはいけないことだと気付かず)」であったりする行為も危険な行為であります。

リスクアセスメントとは?

繰り返しますがリスクアセスメントとは、リスクマネジメントの一つであり、
 ・組織の情報資産に対するリスクを明確にする[リスク特定]
 ・特定したリスクの大きさを算定する[リスク分析]
 ・算定したリスクが組織にどれだけの影響を与えるかを判断する[リスク評価]
を行うことをいいます。

ISO27001の規格要求では、リスクアセスメントのプロセスを「この方法で実施しなさい」など具体的なことは定めておりません。

リスクアセスメントの方法として、対象となる情報資産毎に評価を行う古典的な方法や、起こり得るリスクのシナリオを作成し、そのシナリオを基準としてリスクの有無を評価する方法(シナリオアプローチ)などがあります。
※シナリオアプローチとは・・・例えば、誰もいない会社に侵入者が出た時に、どんなリスクが起こるかをいくつか想定し、誰がどんなことをすればいいのかを分析する手法

どの方法であっても、ISO27001の規格要求事項を満たしていれば審査は通ります。
他にもリスクアセスメントの手法はありますので、事業の規模や組織の要求を加味して支援いたします。

ただし、リスクアセスメントの仕組みには運用負荷が発生するため、負荷が重すぎるために運用しきれず見直しが必要な会社様が散見されます。このアセスメントが色々な要求事項に影響しますので見直しが大切となります。


ISO27001 よくあるご質問一覧に戻る

ISO27001認証取得コンサルティングに戻る

資料請求

まずは、お電話もしくはフォームより、お問い合わせ、もしくは資料請求をください。