ISMSのリスクアセスメントってどんな方法があるの?


いつもご愛読ありがとうございます。
ISO総合研究所の野瀬です。
あるお客様先に訪問した際に、「ISMSのリスクアセスメントの
点数評価がいつも悩ましいんですよねー」というお声を聞きました。
ISMSにおけるリスクアセスメントは、情報資産の重要性を機密性、完全性、可用性毎に
数値化し、それに脅威と脆弱性を付け加えて定量化してリスク値とすることで対応策の
優先順位をつけたり、対応策の実施によりリスク値を変動させたりして管理することが一般的です。
では、そもそもISMSにおけるリスクアセスメントは点数評価をしなければ
ならないものなのでしょうか?
規格では「点数評価をしなさい」とは書かれていないことから、○×でも、
!でも?でも構わないということがわかります。
会社として本当に守りたいただ一つの情報を守るというゴールのために、
「点数評価が悩ましい、面倒」などとなってしまっては本末転倒かもしれないので、
できればシンプルに運用していくようにしましょう。

メールアドレス