企業や組織の運営には、常に様々なリスクが潜んでいます。どんなリスクが潜んでいるのか、万が一インシデントが発生した場合、どのような対応を取るべきなのかといったリスクアセスメントは必要不可欠です。
そこで今回は、リスクアセスメントをする際の基準となるリスク評価シートについて解説していきたいと思います。
この機会に、自社のセキュリティ体制を見直したいという方には、ISMSの取得もサポートしております。ISMSを取得するメリットや、取得までの流れについては、以下の記事でまとめていますので、あわせてご覧ください。
目次
リスクアセスメントとは?
リスクアセスメントとは、企業や組織が保有する情報資産に関するリスクを洗い出し、それらのリスクへの対応をリスト化したものです。ISMSの取得に向けてリスク評価シートを作成する場合には、「体系的にリスクを把握・評価しているか」という点も審査で重要になってくるため、分析から対応まで一貫性があることが重要となってきます。
リスク評価シートの作成方法とは?
情報資産目録に洗い出した情報資産ごとに、リスク評価シートを作成することはもちろん可能ですが、そうするとリスク評価シートの枚数がとても多くなり、作成や維持に多大な手間がかかることが考えられます。
そのため、「端末」「社内設置機器」「クラウドサービス」「保管庫」といったように、情報資産を保管している場所を単位とし、その場所に含まれる全ての情報を一枚にまとめて、保管場所ごとにリスク評価シートを作成することを推奨します。
リスク評価シートに盛り込むべき内容とは?
リスク評価シートには、以下のような内容を盛り込むといいでしょう。
(1)資産価値(3・2・1などの数値評価 ※数字が大きいほど価値が大きい)
この時、機密性、完全性、可用性のそれぞれに着目して、資産価値を評価します。
(2)想定される脅威の内容
ここでも、機密性、完全性、可用性に着目して、想定される脅威を洗い出します。
例)
機密性…社員によるデータ不正持ち出し、外部からの不正アクセスなど
完全性…外部からの改ざん、データの毀損など
可用性…サービス停止、ハードウェアの故障など
(3)脅威の発生の頻度(3・2・1などの数値評価 ※数字が大きいほど頻度が高い)
(4)脅威に対する現状の対策(3・2・1などの数値評価 ※対策が進んでいるほど数字を小さくする)
(5)リスク値
(資産価値)×(脅威の頻度)×(脅威に対する現状の対策)で算出
(6)リスクアセスメントの結果に基づいて対応の方針を決定する
リスクの回避、リスクの低減、リスクの移転、リスクの受容の4つの方法の中から方針を決定します。
どのような脅威が想定されるか、ISMS管理者がすべてを洗い出すことは非常に困難です。直接業務に関わる従業員に意見を聞いたり、部門内ミーティングを開催しながら、さまざまな角度から脅威を抽出するのがおすすめです。
また、脅威発生が著しく低いものや、もし発生したとしても事業の継続に大きな影響を与えない脅威については、予算や工数も考慮したうえでリスクを受容する「残留リスク」とした上で、定期的に見直します。
このように、リスク評価シートを作成して脅威を可視化することで、自社がやるべき対応策が見えてきます。
オプティマ・ソリューションズでは、自社用にカスタマイズできるひな形を無料で提供しております。シンプルで無駄がなく、Googleスプレッドシートなどでオンライン共有が可能です。ぜひ参考にしてください。
リスク評価シート作成時の注意点とは?
次に、リスク評価シートを作成する際に注意したいポイントについても触れておきたいと思います。より効果的なリスク管理を実現するために、ぜひ押さえてください。
(1)できるだけ多くの人の意見を取り入れる
リスク評価シートは、できるだけ多くの人の意見を取り入れながら作成することで、抜け漏れを防げます。最初から完璧を目指すのではなく、まずは主要の情報資産目録から作成すると進めやすいです。
(2)対応策は現実的なものにする
脅威の対応策は、理論上は完璧なものでも、現実的に実行不可能であれば意味がありません。費用や組織のリソースなどを考慮したうえで、適切な対応策を決定しましょう。
脅威の対策例)
ノートパソコンが盗難にあうリスクに対して
・十分な長さのパスワードを設定する
・内蔵ドライブを暗号化する
・監視カメラを設置する
・オフィスの施錠管理をする など
(3)責任者を明記する
脅威の対応策と合わせて、責任者の明記も忘れてはいけません。万が一インシデントが発生した場合、どのリスクに対して誰が責任を持つのかを明確にしておかないと、対応が遅れてしまう可能性があります。
効果的なリスク評価シートを作成し、リスクを正確に把握して、適切な対策ができるようにしてください。
オプティマ・ソリューションズでは、ISMS取得を徹底的にサポートいたします!
弊社では数多くのお客様のISMS取得のお手伝いをしております。弊社は下記のような特長を持っています。
・メールへの返信や見積などへの対応スピードが速いので最短取得のサポートができる
・月々定額の分割払いができる
・東京、大阪、名古屋に支社がある
・オリジナルテンプレートからのカスタマイズができるので、工数の削減が可能
・使いやすいE-Learningツールを無料提供している(運用時に年に1度の教育が必須)
・コンサルティングを行う際、担当者の皆様自身にISMSの知識やコツを見つけていただいて、皆様の会社自体が成長していいただけることを心掛けています
しっかりと皆様のお話をお聞きして、御社に必要なことだけを説明して、親身に寄り添いながらサポートするのが当社のコンサルティングです。
創業20年、実績数も3,500件を超えました。
本Webサイトで認証取得/更新の体験談を多数公開していますので、ぜひご覧になってください。
これからISMSを取得される、または、更新をご希望される事業者様はぜひお気軽にご相談ください。
