情報セキュリティリスクアセスメント
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2021/08/10 02:32 UTC 版)
「情報セキュリティマネジメントシステム」の記事における「情報セキュリティリスクアセスメント」の解説
ISMSでは特に情報セキュリティリスクアセスメントに関する指針を定めている。そこで定められている作業は前述の3つを含む以下の9つに分類できる:リスクアセスメントの取組方法の定義、リスク特定、リスク分析、リスク評価、リスク対応、管理策の決定、適応宣言書の作成、情報セキュリティリスク計画書の作成、残留リスクの承認。 「リスクアセスメントの取組方法の定義」では、リスク基準を策定し、情報セキュリティリスクアセスメントの一貫性、妥当性、比較可能性を保証するためのプロセスを定めて文書化する。リスク基準は以下の2つを含まねばならない: 組織として保有する事を許容するリスクの水準であるリスク受容基準 情報セキュリティアセスメントを実施するための基準 「リスク特定」ではリスクの特定とそのリスク所有者の特定をする必要がある。そのために、資産の洗い出しを行う事で資産目録を作成し、各資産の管理責任者を特定し、各資産の脅威と脆弱性の明確化を行う事が望まれる。 「リスク分析」ではリスクの起こりやすさと起こった場合の結果を分析し、これらに応じてリスクレベルを決定する。 「リスク評価」ではリスク分析結果とリスク基準を比較し、リスク対応のための優先付けを行う。JIPDECではリスクレベルとリスク受容基準を数値化した上で両者を比較する方法を例示している。 「リスク対応」ではリスク受容基準を満たすリスクはリスクを受容するという意思決定(リスク受容)を行った上でリスク保有する。それ以外のリスクに関してはリスク対応の選択肢を選定する。リスク対応の選択肢としてJIPDECは、リスクを減らすリスク低減を行うか、リスクに関係する業務や資産を廃止・廃棄する事でリスク回避、契約などで他社とリスクを共有するリスク共有、および事業上の利益を優先してあえてリスクを取るまたは増加させるリスク・テイキングを例示し、リスク共有の方法として資産やセキュリティ対策をアウトソーシングする方法と保険などを利用するリスクファイナンスを例示している。 「管理策の決定」ではリスク対応で選んだ選択肢に応じてリスクを修正(modify)する対策である管理策((リスク)コントロールとも)を決定する。管理策の具体的な方法はJIS Q 27001:2014の附属書Aに記載されているが、そこに記載されていない管理策を選択してもよい。 「適用宣言書の作成」では必要な管理策およびそれらの管理策を含めた理由を記載した適用宣言書を作成する。 「情報セキュリティリスク計画書の作成」では情報セキュリティリスク計画を立てる。JIPDECは情報セキュリティリスク計画としてリスク低減や管理策の実装に関する実行計画を立案し情報セキュリティリスク計画書にまとめる事を推奨している。 「残留リスクの承認」では情報セキュリティリスク対応計画と受容リスクに関してリスク所有者の承認を得る。
※この「情報セキュリティリスクアセスメント」の解説は、「情報セキュリティマネジメントシステム」の解説の一部です。
「情報セキュリティリスクアセスメント」を含む「情報セキュリティマネジメントシステム」の記事については、「情報セキュリティマネジメントシステム」の概要を参照ください。
- 情報セキュリティリスクアセスメントのページへのリンク
