ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第6回 リスクアセスメントって何をやるの?
ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
太田 智明
浦名 祐輔
http://rm.jmc.ne.jp/service/iso27001/27column06.html
<ISO27001新米担当者のつぶやき>
■いよいよリスクアセスメント
こんにちは、磯一郎です。
前回は情報セキュリティ方針についての検討でしたが、コンサルタントの山田太一さんからの助言もあり、今回のプロジェクトリーダーである専務に作成していただくことになりました。
さて、明日からは、いよいよリスクアセスメントについての打ち合わせとなります。事前に予習をしようと、ISO27001の規格本とみらめっこをしているのですが、
・リスクアセスメントをやる際には方法を特定する
・リスク対応について選択肢を明確にする…
う〜ん。やはり規格本を読んでもチンプンカンプンです。明日コンサルタントに聞いてみよう。
<ISO27001コンサルタントからのアドバイス>
■非常に重要なポイントである「リスクアセスメント」
本日は、リスクアセスメントのお話をさせていただきます。
リスクアセスメントとは簡単に言うと、企業の仕組みや体制におけるセキュリティの穴(=リスク)を見つけ、その穴がどれだけの影響があるのかを評価し、その評価を元に新しいルール作成やツールの導入などのアクションを考えていくことです。
そして、これから進めるこのリスクアセスメントが、ISO27001の規格では非常に重要なポイントになります。
なぜならば、これから新しく作成されるルールや導入されるシステムやツールの導入などの対策は、このリスクアセスメントのプロセスを経て実現されるものだからです。(審査においても、作成されたルールはどのようなリスクが元になり、作られたのかを確認されます。)
■リスクアセスメントの流れ
まずは、リスクアセスメントをどのように実施するか方法を検討します。
ISO27001の規格では、「リスクアセスメントはこの方法で実施しなさい」など具体的な方法は求められていないので、業種、業態に合わせたやり方で問題ありません。現在では、ツールなどを使用してリスクアセスメントを行う方法が一般的になっています。
手順に含まなければならない主な項目は次のとおりです。
【資産の洗い出し】
ここでは、会社にどのような資産が存在するかを洗い出します。
その際に、実際の業務で発生するインプット情報、アウトプット情報を抽出します。
ポイントとしては、A社見積もり、B社見積もり…のように同じ重要度、取扱い方法のものは、まとめて洗いだすことです。
さらに、それぞれの資産に対して「管理者」を定めてください。
【リスクの評価】
次に、その洗い出した資産に対して、どのような「脅威」が考えられるか、現状の管理状況「脆弱性」は何かを検討します。
例えば、机の上に重要と位置付けた顧客提案書があったと想定します。
その状態に対して、
脅威:部外者の人が入って来て情報を盗まれてしまう
脆弱性:現状では、整理整頓のルールがなく従業員の意識に頼ってしまっている
さらに、上記の脅威が発生することにより、リスクがあるかないか、大きいか小さいかを評価し、対策が必要なリスクを抽出します。
リスクアセスメント方法の具体例
(1)詳細リスクアセスメント
資産一つひとつに対して細かく評価を実施していく手法。
書類やデータなど一つひとつ取扱いが違う物に対して評価する際に使用することが多い。
(2)ベースラインアプローチ
事前に一定の基準を設けそれを上回っているか下回っているかでリスクのありなしを判断する手法。
建物などに対してチェックリスト形式で評価することが多い。
【リスクの対応】
上記で洗い出したリスクに対して、「対策の方針」を検討します。
ここでは4つの分類から選択します。
軽減:何かしらの対策を取り、リスクを減らす行動を取る。
受容:リスクとしては認識したが、今回は対策は取らない。
回避:業務上のプロセス自体をなくす。
転化:保険などにより補てんする。
おそらく、多くのリスクは軽減策を選択することになり、そこからは具体的な対策を検討します。
例えば、
・セキュリティのルールとして整理整頓に関するルールを作成する。
・その後、ルールを従業員に周知徹底を図るために教育する。など
【経営陣の承認】
上記リスク対応にて検討した対策について、「経営陣の承認」をもらいます。リスク対応を実行する際には、ルール作成や設備などの人・金銭・時間の投資が発生します。内容によっては経営にも影響が出てくる場合もあるため、経営陣から実行の承認を得てください。
なお、報告の際はリスク対応について「いつ」「誰が」「何を」を明確にして、経営者が把握しやすい形にすることを心がけてください。
【適用宣言書の作成】
今回リスクとして抽出された事項と…
【執筆:太田 智明、浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/iso27001/27column06.html
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
太田 智明
浦名 祐輔
http://rm.jmc.ne.jp/service/iso27001/27column06.html
<ISO27001新米担当者のつぶやき>
■いよいよリスクアセスメント
こんにちは、磯一郎です。
前回は情報セキュリティ方針についての検討でしたが、コンサルタントの山田太一さんからの助言もあり、今回のプロジェクトリーダーである専務に作成していただくことになりました。
さて、明日からは、いよいよリスクアセスメントについての打ち合わせとなります。事前に予習をしようと、ISO27001の規格本とみらめっこをしているのですが、
・リスクアセスメントをやる際には方法を特定する
・リスク対応について選択肢を明確にする…
う〜ん。やはり規格本を読んでもチンプンカンプンです。明日コンサルタントに聞いてみよう。
<ISO27001コンサルタントからのアドバイス>
■非常に重要なポイントである「リスクアセスメント」
本日は、リスクアセスメントのお話をさせていただきます。
リスクアセスメントとは簡単に言うと、企業の仕組みや体制におけるセキュリティの穴(=リスク)を見つけ、その穴がどれだけの影響があるのかを評価し、その評価を元に新しいルール作成やツールの導入などのアクションを考えていくことです。
そして、これから進めるこのリスクアセスメントが、ISO27001の規格では非常に重要なポイントになります。
なぜならば、これから新しく作成されるルールや導入されるシステムやツールの導入などの対策は、このリスクアセスメントのプロセスを経て実現されるものだからです。(審査においても、作成されたルールはどのようなリスクが元になり、作られたのかを確認されます。)
■リスクアセスメントの流れ
まずは、リスクアセスメントをどのように実施するか方法を検討します。
ISO27001の規格では、「リスクアセスメントはこの方法で実施しなさい」など具体的な方法は求められていないので、業種、業態に合わせたやり方で問題ありません。現在では、ツールなどを使用してリスクアセスメントを行う方法が一般的になっています。
手順に含まなければならない主な項目は次のとおりです。
【資産の洗い出し】
ここでは、会社にどのような資産が存在するかを洗い出します。
その際に、実際の業務で発生するインプット情報、アウトプット情報を抽出します。
ポイントとしては、A社見積もり、B社見積もり…のように同じ重要度、取扱い方法のものは、まとめて洗いだすことです。
さらに、それぞれの資産に対して「管理者」を定めてください。
【リスクの評価】
次に、その洗い出した資産に対して、どのような「脅威」が考えられるか、現状の管理状況「脆弱性」は何かを検討します。
例えば、机の上に重要と位置付けた顧客提案書があったと想定します。
その状態に対して、
脅威:部外者の人が入って来て情報を盗まれてしまう
脆弱性:現状では、整理整頓のルールがなく従業員の意識に頼ってしまっている
さらに、上記の脅威が発生することにより、リスクがあるかないか、大きいか小さいかを評価し、対策が必要なリスクを抽出します。
リスクアセスメント方法の具体例
(1)詳細リスクアセスメント
資産一つひとつに対して細かく評価を実施していく手法。
書類やデータなど一つひとつ取扱いが違う物に対して評価する際に使用することが多い。
(2)ベースラインアプローチ
事前に一定の基準を設けそれを上回っているか下回っているかでリスクのありなしを判断する手法。
建物などに対してチェックリスト形式で評価することが多い。
【リスクの対応】
上記で洗い出したリスクに対して、「対策の方針」を検討します。
ここでは4つの分類から選択します。
軽減:何かしらの対策を取り、リスクを減らす行動を取る。
受容:リスクとしては認識したが、今回は対策は取らない。
回避:業務上のプロセス自体をなくす。
転化:保険などにより補てんする。
おそらく、多くのリスクは軽減策を選択することになり、そこからは具体的な対策を検討します。
例えば、
・セキュリティのルールとして整理整頓に関するルールを作成する。
・その後、ルールを従業員に周知徹底を図るために教育する。など
【経営陣の承認】
上記リスク対応にて検討した対策について、「経営陣の承認」をもらいます。リスク対応を実行する際には、ルール作成や設備などの人・金銭・時間の投資が発生します。内容によっては経営にも影響が出てくる場合もあるため、経営陣から実行の承認を得てください。
なお、報告の際はリスク対応について「いつ」「誰が」「何を」を明確にして、経営者が把握しやすい形にすることを心がけてください。
【適用宣言書の作成】
今回リスクとして抽出された事項と…
【執筆:太田 智明、浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/iso27001/27column06.html
ITトピックス
- レイプ犯がFacebookから逮捕
- Twitterの冗談で逮捕 罰金30万円
- 中国の各地でiPadの撤去が拡大
- ドコモ回線をさらに圧迫する懸念
- ホイットニー曲を値上げした犯人
- Wordのちょっとしたテクニック
- iPhone解約手数料カラクリに愕然
- iPad3発表予定日「その通り」
- "中華ステマ"壮観な荒らしっぷり
- "不味い"ブログ掲載し名誉毀損も
おすすめ商品
関連ニュース:ISO
- オリンパス、往年の名機を継ぐマイクロ一眼「OLYMPUS OM-D」……5軸手ブレ補正機能搭載RBB TODAY 02月08日18時15分(4)
- ニコン、有効3630万画素のプロ・ハイアマチュア向けデジタル一眼レフ、「D800」と「D800E」BCNランキング 02月07日18時37分(3)
- “軽くて速い”KDDI研の暗号アルゴリズム、ISO国際標準規格に――「KCipher-2」ITmedia +D Mobile 02月14日10時34分
- 川西、テッシー、EBIが新バンド「電大」結成ナタリー 02月14日00時00分
- ロンブー・淳がアーケードゲーム「機動戦士ガンダム 戦場の絆」に挑戦オリコン 02月13日12時24分
ITアクセスランキング
- よ〜分からん? iPhone解約手数料のカラクリゲンダイネット 13日10時00分 (220)
- 「キンドル」4月に国内発売の報道 「ドコモ回線」さらに圧迫の懸念J-CASTニュース 13日18時27分
(2)
- ニール・ヤングはなぜMP3を嫌うかWIRED.jp 14日08時00分
(7)
- iPad3発表イベントは3/7?【湯川】Tech Wave 14日09時30分 (1)
- 中国のアップル調査、各地に拡大 iPad撤去も共同通信 13日19時08分 (10)
- お店の料理に「不味い」とネットでコメントすると名誉毀損もNEWSポストセブン 14日07時00分 (9)
- 最大約615万台の端末に影響!au、Eメール障害の原因が判明ITライフハック 13日12時09分
(8)
- Wordのちょっとした区切り線をキーボードだけで引くテクニック【知っ得・虎の巻】ITライフハック 13日13時00分
(4)
- 「Twitter上の冗談」で逮捕、罰金約30万円:英国WIRED.jp 14日11時27分
(4)
- auでも通信トラブル発生 それでも「一番ヤバいのはドコモ」だ!!?EXドロイド(エックスドロイド) 13日12時57分 (25)
Amazon ランキング
|
|
|
|
||||
