ISMSのリスクアセスメント


今回のブログは「リスクアセスメント」についてです。
ISO27001:2014 (ISO/IEC 27001:2013)、通称ISMSのリスクアセスメントって難しいですよね。いろんな企業様のリスクアセスメント表を見てきましたが、非常に難解なものを使っている方が多いです。難解な計算式や手順を構築すればするほど、毎年の定期見直しを怠り、「去年と同じまんまでいいやー」という人が続出します。見直しを怠るような記録(ルール)ならば、簡単なルールにして、毎年しっかり見直しした方がいいのではないでしょうか?

ちなみにJIS Q 27001:2014 (ISO/IEC 27001:2013)には、以下の様に規定され、それに従い文書化しろと言われています。

6.1.2 情報セキュリティリスクアセスメント
組織は,次の事項を行う情報セキュリティリスクアセスメントのプロセスを定め,適用しなければならない。
a) 次を含む情報セキュリティのリスク基準を確立し,維持する。
1) リスク受容基準
2) 情報セキュリティリスクアセスメントを実施するための基準
b) 繰り返し実施した情報セキュリティリスクアセスメントが,一貫性及び妥当性があり,かつ,比較可能な結果を生み出すことを確実にする。
c) 次によって情報セキュリティリスクを特定する。
1) ISMS の適用範囲内における情報の機密性,完全性及び可用性の喪失に伴うリスクを特定するために,情報セキュリティリスクアセスメントのプロセスを適用する。
2) これらのリスク所有者を特定する。
d) 次によって情報セキュリティリスクを分析する。
1) 6.1.2 c) 1) で特定されたリスクが実際に生じた場合に起こり得る結果についてアセスメントを行う。
2) 6.1.2 c) 1) で特定されたリスクの現実的な起こりやすさについてアセスメントを行う。
3) リスクレベルを決定する。
e) 次によって情報セキュリティリスクを評価する。
1) リスク分析の結果と6.1.2 a) で確立したリスク基準とを比較する。
2) リスク対応のために,分析したリスクの優先順位付けを行う。
組織は,情報セキュリティリスクアセスメントのプロセスについての文書化した情報を保持しなければならない。

6.1.3 情報セキュリティリスク対応
組織は,次の事項を行うために,情報セキュリティリスク対応のプロセスを定め,適用しなければならない。
a) リスクアセスメントの結果を考慮して,適切な情報セキュリティリスク対応の選択肢を選定する。
b) 選定した情報セキュリティリスク対応の選択肢の実施に必要な全ての管理策を決定する。
注記 組織は,必要な管理策を設計するか,又は任意の情報源の中から管理策を特定することができる。
c) 6.1.3 b) で決定した管理策を附属書A に示す管理策と比較し,必要な管理策が見落とされていないことを検証する。
注記1 附属書A は,管理目的及び管理策の包括的なリストである。この規格の利用者は,必要な管理策の見落としがないことを確実にするために,附属書Aを参照することが求められている。
注記2 管理目的は,選択した管理策に暗に含まれている。附属書A に規定した管理目的及び管理策は,全てを網羅してはいないため,追加の管理目的及び管理策が必要となる場合がある。
d) 次を含む適用宣言書を作成する。
- 必要な管理策[6.1.3 のb) 及びc) 参照]及びそれらの管理策を含めた理由
- それらの管理策を実施しているか否か
- 附属書A に規定する管理策を除外した理由
e) 情報セキュリティリスク対応計画を策定する。
f) 情報セキュリティリスク対応計画及び残留している情報セキュリティリスクの受容について,リスク所有者の承認を得る。
組織は,情報セキュリティリスク対応のプロセスについての文書化した情報を保持しなければならない。
注記 この規格の情報セキュリティリスクアセスメント及びリスク対応のプロセスは,JIS Q 31000[5]に規定する原則及び一般的な指針と整合している。
(引用:JIS Q 27001:2014 (ISO/IEC 27001:2013))

長々と難しいですね…JIS Q 31000も付随して読めとも記載されていますし…
難しいので、簡単に必要な項目だけ抜粋してまとめてしまいます。

情報資産の名称(基本契約書、履歴書などの情報資産の名前)を基準に、以下の項目を記載する企業様が多いですね。
・資産分類(紙なのか、データなのか、何かの媒体なのか)
・保管場所(鍵付きキャビネット、○○サーバーなど)
・保管期間
・責任者(リスクの所有者。履歴書だと総務部長など)
・情報分類(自社でレベルを決める。極秘・社外秘など)
・資産価値(機密性・完全性・可用性を記載。 ※機密性・完全性・可用性の意味については割愛)
・リスク(その情報はどんなリスクがあるのか。漏洩・滅失・き損・不正アクセスなど)
・リスクに伴う影響(その情報が漏洩すると会社が潰れるなど)
・リスクが発生する確率
・現在行っている管理策(アクセス制限している、施錠しているなど)
・リスク対応計画に移行するかの判断基準(社長判断などでも可)

規格を簡単に箇条書きでまとめましたが、実際に作業するのは難しいですよね。
上記でイメージが湧いた人はExcelでフォーマットを作ってみてください。
イメージが湧かなかった人は、ISO総研にご相談ください。
相談=即契約してくれ!ではなく、無料相談というような形でも受付けてますのでご心配なく!

メールアドレス