Q. ISO27001を認証取得するためのリスクアセスメントのやり方(スキーム)は決まっていますか?

ISO27001では、情報リスクアセスメントの最低限の要求は決まっていますが、やり方は厳密に決まっているわけではありません。ISO27001では、スキームを工夫することができます。リスクアセスメントのスキームについては、コンサルタントの力量によって左右されます。

尚、ISO27001の認証取得後、リスクアセスメントのスキームを変えたいというご要望も多く、最近では数多くご相談を承っております。

リスクアセスメントの手法は厳密に決められているわけではありませんので、世の中には多くのリスクアセスメント手法が存在します。それぞれ一長一短がありますので、どれが正解というわけではありません。

また、単一の手法のみを用いる必要もなく、複数の手法を組み合わせて導入しても何ら問題ありません。

例えば、定量的な手法と定性的な手法を組み合わせることで、多様なリスクを洗い出すといった取り組みをしている組織もあります。

「リスクアセスメントの負荷が高いので改善したい」というご相談は多いので、お困りであれば当社までご相談ください。

リスクアセスメントの見直し

リスクアセスメントとは、単純和訳するとリスクの分析であり、リスクマネジメントの一部です。リスクアセスメント+アセスメント結果をふまえたリスク対応がリスクマネジメントの基本概念とお考えください。リスクアセスメントは、適切なリスク対応をするために必須の準備です。

ISO27001におけるリスクアセスメントの要求は、おおまかに(細かい要求は別として)以下の2点です。

  1. リスクを特定、分析、評価するための手順、基準を設けること
  2. リスクを特定し分析、評価すること

つまり、リスクアセスメントに特定の手法を要求しているというわけではありません。

リスクアセスメントの手法によって、ISMSの運用負荷は大きく変動します。すなわち、運用負荷を下げるためには、リスクアセスメント手法を見直すことが近道です。

審査を受け続けていると、「この手法では新たなリスクを特定するのは難しいのでは?」といったような指摘が出てくることがあります。新たなリスクを特定しにくい手法もありますので、工夫が必要です。

リスクアセスメントの負荷や限界を軽減する方法

リスクアセスメントの手法には、行き詰まりやすい手法と、変化をつけやすい手法があります。手法によって、ISMSの運用負荷を低く抑えることもできますし、リスク特定の限界も解消することができます。

当社には、ISO27001更新時にリスクアセスメントで行き詰まった会社様からご相談を受けることがありますが、その場合には、リスクアセスメントの手法そのものを変える提案をさせていただくことがございます。

リスク対応について

リスク対応とは、リスクアセスメントの結果に基づいたリスクの取り扱いのことです。

一般的にはリスクを低減することがリスクへの対応と考えられることが多いですが、それが全てではありません。

リスクは無くなることに越したことはありませんが、リスクを軽減することと、事業経営での効率化などのメリットは、相反することがあります。単純な例を挙げると、メールにファイルを添付して送る際にパスワードを設定すると、送り先を誤った際に開封されるリスクが低減されますが、単純にパスワードを設定する手間がかかったり、設定したパスワードを管理する手間がかかります。

この例のように、リスクを受け入れて手間を省くメリットを取るという選択肢もあります。会社経営では、様々な場面でリスクを受容しているはずです。

また、上記のリスクの低減、受け入れ(受容)以外にもリスク対応は存在するので、まずは複数のリスク対応が存在することをご認識ください。

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

受付時間:平日 9:00~18:00