Q. ISO27001で要求されるリスクアセスメントとはそもそも何ですか?

リスクとは?

ISO27001の中ではリスクの特定・分析・評価のことをリスクアセスメントといいます。以下の要素をISMSに組み込むことを要求しています。

  1. リスクの受容基準を決め、リスクの特定分析基準を決定する
  2. リスクを特定する
  3. リスクを分析する
  4. リスクを評価する

これらのリスクをマネジメントすることがISMS(情報セキュリティマネジメントシステム)の目的です。具体的な基準の決め方等は明記されておりません。したがいまして、組織の決定如何で、リスクアセスメントの負荷が大きく変わってきます。

ISO27001で言うリスクとは?

ISO27001で言うリスクとは、簡単に言えば、少なくとも「機密性」「完全性」「可用性」という3つの特性を損なう危険性のことです。

例えば、

「機密性」を損なう例

  1. メールを誤った宛先に送ってしまう
  2. ウィルス感染によりネットワーク上に情報が流出してしまう etc.

「完全性」を損なう例

  1. データベースが改ざんされてしまう
  2. データの入力ミスをしてしまう etc.

「可用性」を損なう例

  1. データを保存していたストレージが破損してしまう
  2. ファイルのパスワードを失念してしまう etc.

他にも、身近な例としては、

  1. タクシーの中で秘密情報を話してしまう
  2. 人ごみの中、電話で秘密情報を話してしまう
  3. 混雑した電車の中で業務メールをやり取りしてしまう
  4. SNSで仕事の内容に触れてしまう

等、いずれも「うっかり」であったり「善意(やってはいけないことだと気付かず)」であったりする行為も危険な行為であります。

ISO27001(ISMS)のリスクアセスメントとは?

ISO27001(ISMS)のリスクアセスメントとは?

繰り返しますがリスクアセスメントとは、リスクマネジメントの一つであり、

  • 組織の情報資産に対するリスクを明確にする [リスク特定]
  • 特定したリスクの大きさを算定する [リスク分析]
  • 算定したリスクが組織にどれだけの影響を与えるかを判断する [リスク評価]

を行うことをいいます。

ISO27001の規格要求では、リスクアセスメントのプロセスを「この方法で実施しなさい」など具体的なことは定めておりません。

リスクアセスメントの方法として、対象となる情報資産毎に評価を行う古典的な方法や、起こり得るリスクのシナリオを作成し、そのシナリオを基準としてリスクの有無を評価する方法(シナリオアプローチ)などがあります。

※シナリオアプローチとは・・・例えば、誰もいない会社に侵入者が出た時に、どんなリスクが起こるかをいくつか想定し、誰がどんなことをすればいいのかを分析する手法

どの方法であっても、ISO27001の規格要求事項を満たしていれば審査は通ります。

他にもリスクアセスメントの手法はありますので、事業の規模や組織の要求を加味して支援いたします。

ただし、リスクアセスメントの仕組みには運用負荷が発生するため、負荷が重すぎるために運用しきれず見直しが必要な会社様が散見されます。このアセスメントが色々な要求事項に影響しますので見直しが大切となります。

認証取得後によく指摘されること

認証取得後によく指摘されること

認証を取得した後に定期的に審査を受けますが、審査を繰り返すとリスクアセスメントの内容がマンネリ化してくることがあります。

すると審査員から、「このままでは、これ以上新しいリスクを発見することは難しいのでは?」という指摘が出やすくなります。

新しいリスクの発見には、「変化をとらえる」ということが大切です。人的な変化であったり、物理的な設備面での変化であったり、業務フローの変化であったり、組織によってそれらの変化があるはずですので、それをとらえることが大切です。

ご相談やお見積りは、下記の電話番号、
もしくはメールフォームにて承っております。
お気軽にご相談ください。

受付時間:平日 9:00~18:00