ISMS認証とは何か■第3回■
ISMSを認証取得するにはどういう準備をすればよいかみていこう。ISMSはプライバシーマークのように個人情報保護だけでなく、組織が保有する情報資産が対象となるため、認証取得に向けてかなり大変な作業となる。最初のSTEPである「適用範囲の決定」から通常1年近くかかる
特集
特集
●STEP5 リスクアセスメントを実施
決定したリスクアセスメント手順に従い、まずリスク値の算出を行う。前段階までのプロセスで行った「情報資産の価値」「脅威の大きさ」「脆弱性の度合い」を用いて、リスク値=情報資産の価値×脅威×脆弱性で算出する。
例えば資産価値が4、脅威が3(社外に漏洩すると信用失墜)、脆弱性が3(すべての担当者がアクセスできる)なら4×3×3の36がリスク値として計算する。ただし脅威や脆弱性の評価をどう行うかは難しく、例えば過去の漏洩件数などの統計データがあれば、その値を脅威の頻度として採用できるが通常はない。外部の専門家に依頼して評価するのも有効な方法である。実際は厳密なものではないので、評価者の判断でリスク値に差がでてしまう。ISMSの目的は適用対象全体で適切なセキュリティ対策を決定することであり、あまり厳密に考えず目安として実施すればよい。
次に組織としてリスクを受容できる範囲を決める。受容可能なリスクは現状の管理を受容したことになる。受容したリスクは組織にとって残留リスクとなる。
●STEP6 リスク対応を行う
リスク対応とは「適切な管理策を採用する」、「リスクを保有する」、「リスクを回避する」、「リスクを移転する」のいずれかを実施することである。
適切な管理策を採用してリスクを低減させることがもっとも多く採用させる方法である。これには二つのアプローチがあり、リスク発生の可能性を低減するには例えば「入退室管理をより厳重にする」ことで可能となる。もう一つはリスクが顕在化した場合の影響度を低減することである。例えば「バックアップ頻度を増やし、修復可能なデータを増やす」で対応できる。
現実にはリスクの完全な除去は不可能で対策にかかる費用と効果のトレードオフとなる。そこで対策を行い受容可能な水準までリスクを下げて、『リスクを保有』する手もある。また『リスクを回避する』する手もある。情報資産を扱っている業務そのものを廃止する、情報資産を破棄する、売上げ効果のない顧客一覧を消去することでリスク回避を行う。
別の方法として『リスクを移転する』こともできる。契約などでリスクを他者へ移転させてしまう。例えば、情報資産や情報セキュリティをアウトソーシングする。ただし、リスクを移転することで新たに発生するリスクもある。また個人情報漏洩賠償責任保険などの保険を活用して、漏洩時にかかるコストなどのリスクを移転する方法がある。
【水谷IT支援事務所・所長、AllAbout「企業のIT活用」ガイド 水谷哲也】
http://allabout.co.jp/career/corporateit/
──
この記事には続きがあります。
全文はScan Security Management本誌をご覧ください。
https://www.netsecurity.ne.jp/14_3697.html
《ScanNetSecurity》
