ISMS(ISO27001)のリスク受容基準の決め方|事例つき

ISMS(ISO27001)のリスク受容基準の決め方

ISMS(ISO27001)のリスク受容基準とは、自社で取り扱っている情報資産のリスクに対して、対策を行うかどうか決定する基準のことです。
ISMS(ISO27001)を構築する上で、リスク受容基準を数値化して情報資産の重要度・脅威・脆弱性それぞれのスコアを決めてリスク対策を行うといいでしょう。

1.リスク受容基準とは

リスク受容基準とは、自社で取り扱っている情報資産のリスクに対して、対策(=リスク対応)を行うかどうかを決定する基準のことを指します。

ISMS(ISO27001)の構築段階で、

・どの基準を超えたらリスク対策を行うのか
・どの程度のレベルのリスクなら対策をしないのか

を明確にする必要があります。

2.リスク受容基準の決め方事例

具体的なリスク受容基準を考えていきましょう。
組織によって多少考え方が違う部分もありますが、是非参考にしてみてください。

やり方は様々あるのですが、今回は、リスク受容基準を数値化して合計スコアで考えていきます。

情報資産のリスクについて
①重要度
②脅威
③脆弱性

の3つの観点でスコアを決めます。

・合計スコアが「10」を超えた情報資産はリスク対応を行う必要がある
・合計スコアが「10」未満の情報資産は、リスクを受容する(=リスクを認識しながらも対策は行わない)
と仮定していきます。

今回はサンプルで基準を「10」としてみました。
スコア最低値が「5」で最高値が「15」のため、中央値である「10」を基準にしました。

まず「10」を基準と設定して一度リスクアセスメントをやってみて、
「10だと厳しすぎる…」となれば、11とか12に上げればいいですし、
「10だと易しすぎる…」となれば、9や8に下げましょう。

基準値を低く設定すればするほど厳しくなりますし、基準値を高く設定すると易しくなります。

3.リスク受容基準を用いてリスクアセスメントをしてみよう

以下の表を参考に数値化していきましょう。

①重要度
情報資産の重要度スコアは、情報セキュリティの3大要素である機密性・完全性・可用性の3つの観点から数値化します。
機密性・完全性・可用性でそれぞれスコアを出して、合計してください。

■機密性(Confidentiality)

定 義 スコア
①公開:情報が漏洩しても、ビジネスへの影響はほとんどない
②社外秘:情報が漏洩した場合、ビジネスへの影響はプロジェクト内、部署内で対応可能
③極秘情報:情報が漏洩した場合、ビジネスへの影響は深刻かつ重大であり全社的信用の失墜につながる

■完全性(Integrity)

定 義 スコア
①低い:内容に誤りや改ざんがあっても影響は非常に少ない
②中程度:内容に誤りや改ざんがあった場合、業務・サービスに影響を及ぼす
③高い:内容に誤りや改ざんがあった場合、会社全体または外部(顧客、取引先)に影響を及ぼす

■可用性(Availability)

定 義 スコア
①低い:利用停止があっても影響ない
②中程度:1日程度の利用停止が許容できる利用停止があった場合、業務・サービスに影響を及ぼす
③高い:1時間程度の利用停止が許容できる
内容に誤りや改ざんがあった場合、会社全体または外部(顧客、取引先)に影響を及ぼす

②脅威
次に脅威のスコアを下記の表で出しましょう。

定 義 スコア
①低い:影響がない         
②中程度:業務停止にはならないが、信用はなくなる         
③高い:業務停止や取引の停止になる         

③脆弱性
最後に、脆弱性のスコアを出しましょう。

定 義 スコア
①低い:十分な対策が実施され、管理が徹底している      
②中程度:対策が一部実施されているが、まだ不十分である      
③高い:対策が未実施、または全く不十分な状態である      

例として、「履歴書」のスコアを出してみましょう。

まずは①重要度の機密性
採用選考中だったり入社前の人材の情報もある場合は社外秘にあたるので、スコアは「2」になります。

続いては完全性
たとえば履歴書内の電話番号に誤りがあった場合、連絡がとれなくなり業務に差しさわりが発生するなら、「2」となります。

最後に可用性です。
1日程度の利用停止が許容できるが、利用停止があった場合、業務・サービスに影響を及ぼすに該当するとして、「2」とします。

つまり、重要度は、機密性「2」、完全性「2」、可用性「2」で、「6」となります。

続いて、②脅威のスコアを考えていきましょう。
履歴書を紛失した場合、業務停止にはならないが信用を失うことにもつながるので「2」とします。

最後に③脆弱性のスコアを決めていきます。
組織での履歴書の取り扱いを見て判断し、今回は「3」とします。

以上で情報資産の重要度、脅威、脆弱性のスコアが決まりました。
6+2+3=11
合計スコアは「11」となります。
基準である「10」を超えているので「リスク対応が必要」という結論に至ります。

(やり方によっては、足し算でなく掛け算を用いて点数を出すケースもあります。
その場合、重要度×脅威×脆弱性 8×2×2=32 となり、基準は27前後になるケースが多いように思います)

ここまでがリスクアセスメントです。

こちらの記事でもISMSのリスクアセスメントについて解説しておりますの是非でご覧ください。
ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選

まとめ

ISMS(ISO27001)のリスク受容基準とは自社で取り扱っている情報資産のリスクに対して、対策を行うかどうか決定する基準です。
基準値を低く設定すればするほど厳しくなりますし、基準値を高く設定すると易しくなります。

カテゴリー: