ISO27001新米担当者の奮闘記 〜ISMS構築プロジェクトの進め方〜 第6回 リスクアセスメントって何をやるの?
2008年06月24日16時30分 / 提供:ネットセキュリティ
ISO27001新米担当者、磯一郎が試行錯誤しながらISMS構築を進める物語です。物語を通して、ISO27001取得までの過程や気をつけるべきポイント、スムーズに構築を進めるためのノウハウなどをご紹介します。
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
太田 智明
浦名 祐輔
http://rm.jmc.ne.jp/service/iso27001/27column06.html
<ISO27001新米担当者のつぶやき>
■いよいよリスクアセスメント
こんにちは、磯一郎です。
前回は情報セキュリティ方針についての検討でしたが、コンサルタントの山田太一さんからの助言もあり、今回のプロジェクトリーダーである専務に作成していただくことになりました。
さて、明日からは、いよいよリスクアセスメントについての打ち合わせとなります。事前に予習をしようと、ISO27001の規格本とみらめっこをしているのですが、
・リスクアセスメントをやる際には方法を特定する
・リスク対応について選択肢を明確にする…
う〜ん。やはり規格本を読んでもチンプンカンプンです。明日コンサルタントに聞いてみよう。
<ISO27001コンサルタントからのアドバイス>
■非常に重要なポイントである「リスクアセスメント」
本日は、リスクアセスメントのお話をさせていただきます。
リスクアセスメントとは簡単に言うと、企業の仕組みや体制におけるセキュリティの穴(=リスク)を見つけ、その穴がどれだけの影響があるのかを評価し、その評価を元に新しいルール作成やツールの導入などのアクションを考えていくことです。
そして、これから進めるこのリスクアセスメントが、ISO27001の規格では非常に重要なポイントになります。
なぜならば、これから新しく作成されるルールや導入されるシステムやツールの導入などの対策は、このリスクアセスメントのプロセスを経て実現されるものだからです。(審査においても、作成されたルールはどのようなリスクが元になり、作られたのかを確認されます。)
■リスクアセスメントの流れ
まずは、リスクアセスメントをどのように実施するか方法を検討します。
ISO27001の規格では、「リスクアセスメントはこの方法で実施しなさい」など具体的な方法は求められていないので、業種、業態に合わせたやり方で問題ありません。現在では、ツールなどを使用してリスクアセスメントを行う方法が一般的になっています。
手順に含まなければならない主な項目は次のとおりです。
【資産の洗い出し】
ここでは、会社にどのような資産が存在するかを洗い出します。
その際に、実際の業務で発生するインプット情報、アウトプット情報を抽出します。
ポイントとしては、A社見積もり、B社見積もり…のように同じ重要度、取扱い方法のものは、まとめて洗いだすことです。
さらに、それぞれの資産に対して「管理者」を定めてください。
【リスクの評価】
次に、その洗い出した資産に対して、どのような「脅威」が考えられるか、現状の管理状況「脆弱性」は何かを検討します。
例えば、机の上に重要と位置付けた顧客提案書があったと想定します。
その状態に対して、
脅威:部外者の人が入って来て情報を盗まれてしまう
脆弱性:現状では、整理整頓のルールがなく従業員の意識に頼ってしまっている
さらに、上記の脅威が発生することにより、リスクがあるかないか、大きいか小さいかを評価し、対策が必要なリスクを抽出します。
リスクアセスメント方法の具体例
(1)詳細リスクアセスメント
資産一つひとつに対して細かく評価を実施していく手法。
書類やデータなど一つひとつ取扱いが違う物に対して評価する際に使用することが多い。
(2)ベースラインアプローチ
事前に一定の基準を設けそれを上回っているか下回っているかでリスクのありなしを判断する手法。
建物などに対してチェックリスト形式で評価することが多い。
【リスクの対応】
上記で洗い出したリスクに対して、「対策の方針」を検討します。
ここでは4つの分類から選択します。
軽減:何かしらの対策を取り、リスクを減らす行動を取る。
受容:リスクとしては認識したが、今回は対策は取らない。
回避:業務上のプロセス自体をなくす。
転化:保険などにより補てんする。
おそらく、多くのリスクは軽減策を選択することになり、そこからは具体的な対策を検討します。
例えば、
・セキュリティのルールとして整理整頓に関するルールを作成する。
・その後、ルールを従業員に周知徹底を図るために教育する。など
【経営陣の承認】
上記リスク対応にて検討した対策について、「経営陣の承認」をもらいます。リスク対応を実行する際には、ルール作成や設備などの人・金銭・時間の投資が発生します。内容によっては経営にも影響が出てくる場合もあるため、経営陣から実行の承認を得てください。
なお、報告の際はリスク対応について「いつ」「誰が」「何を」を明確にして、経営者が把握しやすい形にすることを心がけてください。
【適用宣言書の作成】
今回リスクとして抽出された事項と…
【執筆:太田 智明、浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/iso27001/27column06.html
(※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です)
株式会社JMCリスクマネジメント
太田 智明
浦名 祐輔
http://rm.jmc.ne.jp/service/iso27001/27column06.html
<ISO27001新米担当者のつぶやき>
■いよいよリスクアセスメント
こんにちは、磯一郎です。
前回は情報セキュリティ方針についての検討でしたが、コンサルタントの山田太一さんからの助言もあり、今回のプロジェクトリーダーである専務に作成していただくことになりました。
さて、明日からは、いよいよリスクアセスメントについての打ち合わせとなります。事前に予習をしようと、ISO27001の規格本とみらめっこをしているのですが、
・リスクアセスメントをやる際には方法を特定する
・リスク対応について選択肢を明確にする…
う〜ん。やはり規格本を読んでもチンプンカンプンです。明日コンサルタントに聞いてみよう。
<ISO27001コンサルタントからのアドバイス>
■非常に重要なポイントである「リスクアセスメント」
本日は、リスクアセスメントのお話をさせていただきます。
リスクアセスメントとは簡単に言うと、企業の仕組みや体制におけるセキュリティの穴(=リスク)を見つけ、その穴がどれだけの影響があるのかを評価し、その評価を元に新しいルール作成やツールの導入などのアクションを考えていくことです。
そして、これから進めるこのリスクアセスメントが、ISO27001の規格では非常に重要なポイントになります。
なぜならば、これから新しく作成されるルールや導入されるシステムやツールの導入などの対策は、このリスクアセスメントのプロセスを経て実現されるものだからです。(審査においても、作成されたルールはどのようなリスクが元になり、作られたのかを確認されます。)
■リスクアセスメントの流れ
まずは、リスクアセスメントをどのように実施するか方法を検討します。
ISO27001の規格では、「リスクアセスメントはこの方法で実施しなさい」など具体的な方法は求められていないので、業種、業態に合わせたやり方で問題ありません。現在では、ツールなどを使用してリスクアセスメントを行う方法が一般的になっています。
手順に含まなければならない主な項目は次のとおりです。
【資産の洗い出し】
ここでは、会社にどのような資産が存在するかを洗い出します。
その際に、実際の業務で発生するインプット情報、アウトプット情報を抽出します。
ポイントとしては、A社見積もり、B社見積もり…のように同じ重要度、取扱い方法のものは、まとめて洗いだすことです。
さらに、それぞれの資産に対して「管理者」を定めてください。
【リスクの評価】
次に、その洗い出した資産に対して、どのような「脅威」が考えられるか、現状の管理状況「脆弱性」は何かを検討します。
例えば、机の上に重要と位置付けた顧客提案書があったと想定します。
その状態に対して、
脅威:部外者の人が入って来て情報を盗まれてしまう
脆弱性:現状では、整理整頓のルールがなく従業員の意識に頼ってしまっている
さらに、上記の脅威が発生することにより、リスクがあるかないか、大きいか小さいかを評価し、対策が必要なリスクを抽出します。
リスクアセスメント方法の具体例
(1)詳細リスクアセスメント
資産一つひとつに対して細かく評価を実施していく手法。
書類やデータなど一つひとつ取扱いが違う物に対して評価する際に使用することが多い。
(2)ベースラインアプローチ
事前に一定の基準を設けそれを上回っているか下回っているかでリスクのありなしを判断する手法。
建物などに対してチェックリスト形式で評価することが多い。
【リスクの対応】
上記で洗い出したリスクに対して、「対策の方針」を検討します。
ここでは4つの分類から選択します。
軽減:何かしらの対策を取り、リスクを減らす行動を取る。
受容:リスクとしては認識したが、今回は対策は取らない。
回避:業務上のプロセス自体をなくす。
転化:保険などにより補てんする。
おそらく、多くのリスクは軽減策を選択することになり、そこからは具体的な対策を検討します。
例えば、
・セキュリティのルールとして整理整頓に関するルールを作成する。
・その後、ルールを従業員に周知徹底を図るために教育する。など
【経営陣の承認】
上記リスク対応にて検討した対策について、「経営陣の承認」をもらいます。リスク対応を実行する際には、ルール作成や設備などの人・金銭・時間の投資が発生します。内容によっては経営にも影響が出てくる場合もあるため、経営陣から実行の承認を得てください。
なお、報告の際はリスク対応について「いつ」「誰が」「何を」を明確にして、経営者が把握しやすい形にすることを心がけてください。
【適用宣言書の作成】
今回リスクとして抽出された事項と…
【執筆:太田 智明、浦名祐輔】
※このコラムはJMCリスクマネジメント社Webサイトからの一部抜粋です。
コラムの全文は、同社下記情報サイトから利用可能です。
http://rm.jmc.ne.jp/service/iso27001/27column06.html
Ads by Google
コメントするにはログインが必要です
関連ニュース:ISO
- [新製品]キヤノン、約1,800万画素CMOSセンサー搭載のデジタル一眼「EOS Kiss X4」
RBB TODAY 02月09日18時50分(1) - ハーゲンダッツ、2010年は「ブランド強化」と「品質向上」ITmedia エンタープライズ 02月08日18時21分(1)
- JMCリスクソリューションズ、ヨドバシカメラマルチメディアAkibaにケータイ乾燥機「ドライヤーボックス」を導入PR TIMES 02月10日18時46分
- [新製品]カシオ、約0.17秒の高速オートフォーカスを搭載したデジカメ「EX-H15」などRBB TODAY 02月10日16時37分
- [新製品]キヤノン、薄型・軽量化を図った「PowerShot SX210 IS」ほか3機種RBB TODAY 02月10日13時17分
- << 海外における個人情報流出…
- IT一覧
- ホワイトペーパー抄録 「… >>
関連商品
 15,800円
DOSPARA
|
15,800円
DOSPARA
|
 714,000円
有智号通販
|
 3,360円
TSUTAYA online
|
ITアクセスランキング
- 携帯電話の充電、5分で可能に朝鮮日報 10日07時43分
- PSPPad? ソニーがiPadを作ったらGIZMODO 10日19時00分(16)
- 『サザエさん』に絵柄がまったく違う美少女キャラ登場ガジェット通信 09日11時39分(11)
- Google Buzzはサル真似、それとも革命?Tech Wave 10日12時02分(1)
- スクエニ社長「業務中にTwitterやエロサイトを見ても気にしない」ガジェット通信 10日06時23分(6)
- 美麗に口コミでも話題沸騰!アクリルキーボード「ACRYLUX」ITライフハック 10日09時00分
- 有名ゲームブログ『はちま起稿』が休止! 盗用されたのが原因?ガジェット通信 10日15時35分
- 『新ブラックジャックによろしく』謎のスピリッツ掲載延期ガジェット通信 09日09時08分(6)
- 【コラム】 “使いやすさ”にこだわった通勤時にオススメなイヤホンとは?R25.jp 10日11時00分(2)
- ガンダムを無断上映!インターネットカフェ店長を逮捕ITライフハック 10日07時00分
Amazon ランキング
|
|
|
|
|
|||||
注目の情報
行きの電車、帰りの電車で