ISMS(ISO27001)におけるセキュリティリスクへの対応(4つの思考法)

ISMS(ISO27001)におけるセキュリティリスクへの対応(4つの思考法)


ISMS(ISO27001)のセキュリティリスクへの対応は、リスク低減・リスク保有・リスク回避・リスク移転、4つの方法があります。
ISMS(ISO27001)を取得している企業は、セキュリティリスクへの対応を社内に取り入れて、セキュリティを見直す必要があります。

1.セキュリティリスクとは

ISMS(27001)では、リスクアセスメント結果によりそれぞれのリスクに対してどう対応していくか決めなければなりません。
セキュリティリスクとは、情報システムとそのデータについてマイナスの影響を生じる可能性を持った「リスク」です。

情報システムやそのデータを守るためには
①機密性
②完全性
③可用性

という3つのことを保持することをしなければなりません。

ただし、この3つに対して必ずリスクがあります。
そのリスクの種類が①脅威②脆弱性です。
①脅威②脆弱性に対してどう対応していくかを考えていく必要があります。

2.リスク低減

リスク低減とは自社内や情報システムが持っている脆弱性(弱い部分)に対して何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせることです。

リスク低減させることを検討する場合には、リスクの高いものから優先的に検討することになります。
このセキュリティ対策の中には
①技術的:暗号化の実施
②組織的:従業員の教育
③物理的:パソコンを鍵付きキャビネットへ保管

などの種類があります。

リスク低減には実施するごとにキリが無いので優先順位をつけて、これはやっておくべき対策だという事を判断しながらやっていった方が良いでしょう。

3.リスク保有

リスク保有とは対策を行わずにリスクを受け入れるということです。

例えばリスクはあるけれども発生頻度、リスクが発生した時の影響が小さいと判断した場合がこれに良く該当します。そのリスクを潰すことにかかる費用と対策が無いと判断した場合に「リスク保有」を取ることが多いです。
言い換えると「現状維持」するということです。
脅威や脆弱性が低いとリスクアセスメントで判断した場合は「リスク保有」としましょう。

よろしければこちらの記事もご覧ください。
ISMS(ISO27001)リスクアセスメントとは|手順と実施方法3選

4.リスク回避

リスク回避とは発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということです。
例えば個人情報を貰って実施する業務があるとします。
その業務をするにあたって個人情報を紛失・漏洩・滅失などのリスクが存在し、その事象が起きてしまうと会社存続にまで係る事だと考えられます。

そうであるのであれば個人情報を受け取らない方法にする、そもそもその業務自体を辞めてしまおうという発想です。リスクをあらかじめ考えることが大事ですね。
業務を行う上では必ずリスクは発生しますが限りなくリスク回避しておくことに間違いないでしょう。

5.リスク移転

リスク移転とはリスクを別の組織(第三者)に移して、自分たちの責任範囲外にすることです。

例えば事務所内にサーバーがあるとします。
そのサーバーには地震が起きた時に潰れてしまうというリスクや盗まれるというリスクがあります。
そのリスクを移転するにはクラウドサーバーを使う等の外部委託先企業へ委託するという対応を取ります。
そうすることにより先程上げていたリスクは無くなる為、リスク移転ができたという考え方です。
今抱えているリスクを第三者へ移転することを考えて対策をしてもらえればと思います。

まとめ

ISMS(ISO27001)のセキュリティリスクとは、情報システムとそのデータについてマイナスの影響を生じる可能性を持った「リスク」です。

セキュリティリスク対応として、リスク低減・リスク保有・リスク回避・リスク移転、4つの方法があります。

・リスク低減とは
自社内や情報システムが持っている脆弱性(弱い部分)に対して、
何かしらのセキュリティ対策を実施・導入することによりその発生頻度を低くさせること

・リスク保有とは
対策を行わずにリスクを受け入れるということ

・リスク回避とは
発生すると予測されるリスクを回避する為に、リスクを無くしてしまおうということ

・リスク移転とは
リスクを別の組織(第三者)に移して、自分たちの責任範囲外にすること

「頭では理解できても、実際に業務を行うとなるとよくわからない…」
というケースも多いと思います。
お困りの際は、是非無料相談でコンサルタントにご相談ください。

カテゴリー: